勒索軟件Cuba正利用微軟Exchange的漏洞進入企業網絡并對設備進行加密。知名網絡安全公司Mandiant追蹤到，使用該勒索軟件的團伙名為UNC2596，而勒索軟件本身的名字為COLDDRAW。其實，這個勒索軟件有一個更為人熟知的名字——Cuba，本文也將以這個名字引述它。

Cuba是一項于2019年年底啟動的勒索軟件行動，起初發展非常緩慢，但在2020年、2021年開始加速發展。隨著該軟件活動的日益活躍，聯邦調查局在2021年12月發布了一份關于Cuba勒索軟件的警告，警告稱該團伙已侵入美國49個關鍵基礎設施組織。此外，在的一份新報告中指出，Cuba行動主要針對的是美國，其次是加拿大。

混合性強卻是量身定制的惡意軟件

自2021年8月以來，Cuba勒索軟件團伙利用Microsoft Exchange漏洞部署網絡外殼、rat病毒和后門，試圖在目標網絡上建立據點。

這一點可以在Mandiant一份最新報告中得到驗證，“早在2021年8月，UNC2596就利用了包括ProxyShell和ProxyLogon在內的微軟Exchange漏洞。”

被植入的后門包括Cobalt Strike和NetSupport Manager遠程訪問工具，但該組織也使用他們自己的“Bughatch”、“wedgcut”、“eck.exe”和“Burntcigar”工具。

以下是三種工具的簡單介紹：

• Wedgcut是一個通過PowerShell枚舉活動目錄的偵察工具，通常以名為“check.exe”的可執行文件的形式出現。
• Bughatch是從C&C服務器獲取PowerShell腳本和文件的下載器。為了逃避檢測，它從遠程URL加載到內存中。
• Burntcigar是一個可以利用Avast驅動程序中的漏洞在內核級別終止進程的工具，該工具附帶了Avast驅動程序，用于“自帶脆弱驅動程序”攻擊。

此外，還有一個內存模式的病毒釋放器，它獲取并加載上述有效載荷，被稱為Termite。其實，它倒也不是Cuba攻擊者專用，之前已經被觀察到運營在多次其他攻擊活動中。

研究顯示，cuba攻擊流程大體是這樣的。首先，攻擊者使用偷來的賬戶憑證，通過現有的Mimikatz和Wicker工具升級特權。

然后，他們使用wedgcut進行網絡偵察，再之后，他們使用RDP、SMB、PsExec和Cobalt Strike進行橫向移動。

隨后部署的是便是由Termite加載的Bughatch和 Burntcigar，它們通過禁用安全工具為數據外泄和文件加密奠定了基礎。

Cuba不使用任何云服務來進行數據滲漏，而是將所有信息發送到他們自己的私人基礎設施上。

惡意軟件進化史

早在2021年5月，Cuba勒索軟件就與Hancitor惡意軟件的垃圾郵件運營商合作，通過DocuSign釣魚郵件進入公司網絡。

從那之后，Cuba逐步發展了針對面向公眾服務漏洞的攻擊，如Microsoft Exchange ProxyShell和ProxyLogon漏洞。

這一轉變使Cuba攻擊更加強大，但卻也更容易被防御，因為早在幾個月前修補那些漏洞的安全更新就已經發布。

如果大多數有價值的目標都已經更新Microsoft Exchange漏洞補丁，Cuba攻擊就可能會將注意力轉向其他漏洞。

這就給了我們一個啟示，一旦軟件供應商發布可用的安全更新，就立即應用這些更新，這對我們而言至關重要，即使我們面對最復雜的攻擊者，我們也能夠保持強大的安全態勢。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-cuba-ransomware/