28/02/22
Операторы вымогательского ПО Cuba используют уязвимости в Microsoft Exchange для получения начального доступа к корпоративным сетям и шифрования устройств. Специалисты ИБ-компании Mandiant отслеживают вымогательскую группировку под названием UNC2596, а саму программу-вымогатель — как COLDDRAW (также известную, как Cuba).
Киберпреступники в первую очередь нацелены на устройства Microsoft Exchange в США, а также в Канаде. Хакеры используют уязвимости ProxyShell и ProxyLogon в Microsoft Exchange для развертывания web-оболочек, троянов для удаленного доступа и бэкдоров с августа 2021 года. Бэкдоры включают маячки Cobalt Strike и инструмент удаленного доступа NetSupport Manager, но группировка также использует собственные инструменты Bughatch, Wedgecu, eck.exe и Burntcigar.
Wedgecut поставляется в виде исполняемого файла с именем check.exe, который представляет собой инструмент разведки для перечисления Active Directory через PowerShell.
Bughatch — загрузчик, извлекающий скрипты и файлы PowerShell с командного сервера. Вредонос загружается в память с удаленного URL-адреса с целью избежать обнаружения.
Burntcigar — утилита, способная завершать процессы на уровне ядра, используя уязвимость в драйвере Avast.
Злоумышленники повышают привилегии, используя украденные учетные данные, полученные с помощью доступных инструментов Mimikatz и Wicker. Затем они проводят разведку сети, используя Wedgecut, и перемещаются по сети с помощью RDP, SMB, PsExec и Cobalt Strike.
