駭客鎖定 Microsoft Exchange Server 發動「古巴」勒索軟體攻擊
名為「古巴」(Cuba) 的勒索軟體正鎖定微軟 Exchange Server 漏洞以駭入企業網路並加密電腦設備。
安全廠商 Mandiant 將背後的駭客組織命名為 UNC2596,而勒索軟體本身則被命名為 Colddraw,但以 Cuba 更為人所知。
Cuba 是在 2019 年底出現,而在 2020 及 2021 年間崛起,FBI 也在去年底發佈 Cuba 的勒索軟體公告,警告美國有 49 個基礎架構的公司網路被駭入。
Mandiant 本周最新公告指出,Cuba 首要目標是美國,其次是加拿大。
研究人員指出,Cuba 從 2021 年 8 月起利用 Exchange Server 漏洞,包括 ProxcyShell 及 ProxyLogon 等入侵受害者系並植入 web shell 程式、遠端木馬(RAT)及後門程式。
它植入的後門程式包括知名的 Cobalt Strike 或 NetSupport Manager 遠端存取工具,也有它自行開發的 Bughatch、Wedgecut、eck.exe,以及 Burntcigar 等。此外也包括專門植入記憶體的 dropper 程式 Termite。
研究人員還說,攻擊者利用 Mimikatz 及 Wicker 等竊取帳號密碼,以之升級權限,以 Wedgecut 執行網路偵察,並利用 RDP、SMB、PSExec 及 CobaltStrike 橫向移動。接下來是以 Termite 部署 Bughatch、Buntcigar,利用後者關閉安全軟體以竊取資料及加密檔案。
攻擊行動不斷演進
自 2021 年 5 月,Cuba 勒索軟體和 Hancitor 惡意程式的操作者合作,成功經由 DocuSign 釣魚信件駭入企業網路。此後 Cuba 開始轉為攻擊對外服務的系統漏洞,像是 Exchange Server 的 ProxyShell 或 ProxyLogon。
研究人員表示,如果 Exchange Server 用戶沒什麼好目標的話,Cuba 也可能轉向其他漏洞。這意謂著若軟體廠商釋出更新版,企業應儘可能及早安裝以防被駭。