駭客鎖定 Microsoft Exchange Server 發動「古巴」勒索軟體攻擊

名為「古巴」(Cuba)的勒索軟體正鎖定微軟Exchange Server漏洞以駭入企業網路並加密電腦設備。 安全廠商Mandiant將背後的駭客組織命名為UNC2596,而勒索軟體本身則被命名為Colddraw,但以Cuba更為人所知。

名為「古巴」(Cuba) 的勒索軟體正鎖定微軟 Exchange Server 漏洞以駭入企業網路並加密電腦設備。

安全廠商 Mandiant 將背後的駭客組織命名為 UNC2596,而勒索軟體本身則被命名為 Colddraw,但以 Cuba 更為人所知。

Cuba 是在 2019 年底出現,而在 2020 及 2021 年間崛起,FBI 也在去年底發佈 Cuba 的勒索軟體公告,警告美國有 49 個基礎架構的公司網路被駭入。

Mandiant 本周最新公告指出,Cuba 首要目標是美國,其次是加拿大。

研究人員指出,Cuba 從 2021 年 8 月起利用 Exchange Server 漏洞,包括 ProxcyShell 及 ProxyLogon 等入侵受害者系並植入 web shell 程式、遠端木馬(RAT)及後門程式。

它植入的後門程式包括知名的 Cobalt Strike 或 NetSupport Manager 遠端存取工具,也有它自行開發的 Bughatch、Wedgecut、eck.exe,以及 Burntcigar 等。此外也包括專門植入記憶體的 dropper 程式 Termite。

研究人員還說,攻擊者利用 Mimikatz 及 Wicker 等竊取帳號密碼,以之升級權限,以 Wedgecut 執行網路偵察,並利用 RDP、SMB、PSExec 及 CobaltStrike 橫向移動。接下來是以 Termite 部署 Bughatch、Buntcigar,利用後者關閉安全軟體以竊取資料及加密檔案。

攻擊行動不斷演進

自 2021 年 5 月,Cuba 勒索軟體和 Hancitor 惡意程式的操作者合作,成功經由 DocuSign 釣魚信件駭入企業網路。此後 Cuba 開始轉為攻擊對外服務的系統漏洞,像是 Exchange Server 的 ProxyShell 或 ProxyLogon。

研究人員表示,如果 Exchange Server 用戶沒什麼好目標的話,Cuba 也可能轉向其他漏洞。這意謂著若軟體廠商釋出更新版,企業應儘可能及早安裝以防被駭。

來源:Bleeping Computer

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416