駭客鎖定Microsoft Exchange Server發動「古巴」勒索軟體攻擊

名為「古巴」(Cuba)的勒索軟體正鎖定微軟Exchange Server漏洞以駭入企業網路並加密電腦設備。 安全廠商Mandiant將背後的駭客組織命名為UNC2596,而勒索軟體本身則被命名為Colddraw,但以Cuba更為人所知。

名為「古巴」(Cuba)的勒索軟體正鎖定微軟Exchange Server漏洞以駭入企業網路並加密電腦設備。

安全廠商Mandiant將背後的駭客組織命名為UNC2596,而勒索軟體本身則被命名為Colddraw,但以Cuba更為人所知。

Cuba是在2019年底出現,而在2020及2021年間崛起,FBI也在去年底發佈Cuba的勒索軟體公告,警告美國有49個基礎架構的公司網路被駭入。

Mandiant本周最新公告指出,Cuba首要目標是美國,其次是加拿大。

研究人員指出,Cuba從2021年8月起利用Exchange Server漏洞,包括ProxcyShell及ProxyLogon等入侵受害者系並植入web shell程式、遠端木馬(RAT)及後門程式。

它植入的後門程式包括知名的Cobalt Strike或NetSupport Manager遠端存取工具,也有它自行開發的Bughatch、Wedgecut、eck.exe,以及Burntcigar等。此外也包括專門植入記憶體的dropper程式Termite。

研究人員還說,攻擊者利用Mimikatz及Wicker等竊取帳號密碼,以之升級權限,以Wedgecut執行網路偵察,並利用RDP、SMB、PSExec及CobaltStrike橫向移動。接下來是以Termite部署Bughatch、Buntcigar,利用後者關閉安全軟體以竊取資料及加密檔案。

攻擊行動不斷演進

自2021年5月,Cuba勒索軟體和Hancitor惡意程式的操作者合作,成功經由DocuSign釣魚信件駭入企業網路。此後Cuba開始轉為攻擊對外服務的系統漏洞,像是Exchange Server的ProxyShell或ProxyLogon。

研究人員表示,如果Exchange Server用戶沒什麼好目標的話,Cuba也可能轉向其他漏洞。這意謂著若軟體廠商釋出更新版,企業應儘可能及早安裝以防被駭。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416