駭客鎖定 Microsoft Exchange Server 發動「古巴」勒索軟體攻擊

名為「古巴」(Cuba) 的勒索軟體正鎖定微軟 Exchange Server 漏洞以駭入企業網路並加密電腦設備。

安全廠商 Mandiant 將背後的駭客組織命名為 UNC2596，而勒索軟體本身則被命名為 Colddraw，但以 Cuba 更為人所知。

Cuba 是在 2019 年底出現，而在 2020 及 2021 年間崛起，FBI 也在去年底發佈 Cuba 的勒索軟體公告，警告美國有 49 個基礎架構的公司網路被駭入。

Mandiant 本周最新公告指出，Cuba 首要目標是美國，其次是加拿大。

研究人員指出，Cuba 從 2021 年 8 月起利用 Exchange Server 漏洞，包括 ProxcyShell 及 ProxyLogon 等入侵受害者系並植入 web shell 程式、遠端木馬（RAT）及後門程式。

它植入的後門程式包括知名的 Cobalt Strike 或 NetSupport Manager 遠端存取工具，也有它自行開發的 Bughatch、Wedgecut、eck.exe，以及 Burntcigar 等。此外也包括專門植入記憶體的 dropper 程式 Termite。

研究人員還說，攻擊者利用 Mimikatz 及 Wicker 等竊取帳號密碼，以之升級權限，以 Wedgecut 執行網路偵察，並利用 RDP、SMB、PSExec 及 CobaltStrike 橫向移動。接下來是以 Termite 部署 Bughatch、Buntcigar，利用後者關閉安全軟體以竊取資料及加密檔案。

攻擊行動不斷演進

自 2021 年 5 月，Cuba 勒索軟體和 Hancitor 惡意程式的操作者合作，成功經由 DocuSign 釣魚信件駭入企業網路。此後 Cuba 開始轉為攻擊對外服務的系統漏洞，像是 Exchange Server 的 ProxyShell 或 ProxyLogon。

研究人員表示，如果 Exchange Server 用戶沒什麼好目標的話，Cuba 也可能轉向其他漏洞。這意謂著若軟體廠商釋出更新版，企業應儘可能及早安裝以防被駭。

來源：Bleeping Computer