駭客鎖定Microsoft Exchange Server發動「古巴」勒索軟體攻擊
名為「古巴」(Cuba)的勒索軟體正鎖定微軟Exchange Server漏洞以駭入企業網路並加密電腦設備。
安全廠商Mandiant將背後的駭客組織命名為UNC2596,而勒索軟體本身則被命名為Colddraw,但以Cuba更為人所知。
Cuba是在2019年底出現,而在2020及2021年間崛起,FBI也在去年底發佈Cuba的勒索軟體公告,警告美國有49個基礎架構的公司網路被駭入。
Mandiant本周最新公告指出,Cuba首要目標是美國,其次是加拿大。
研究人員指出,Cuba從2021年8月起利用Exchange Server漏洞,包括ProxcyShell及ProxyLogon等入侵受害者系並植入web shell程式、遠端木馬(RAT)及後門程式。
它植入的後門程式包括知名的Cobalt Strike或NetSupport Manager遠端存取工具,也有它自行開發的Bughatch、Wedgecut、eck.exe,以及Burntcigar等。此外也包括專門植入記憶體的dropper程式Termite。
研究人員還說,攻擊者利用Mimikatz及Wicker等竊取帳號密碼,以之升級權限,以Wedgecut執行網路偵察,並利用RDP、SMB、PSExec及CobaltStrike橫向移動。接下來是以Termite部署Bughatch、Buntcigar,利用後者關閉安全軟體以竊取資料及加密檔案。
攻擊行動不斷演進
自2021年5月,Cuba勒索軟體和Hancitor惡意程式的操作者合作,成功經由DocuSign釣魚信件駭入企業網路。此後Cuba開始轉為攻擊對外服務的系統漏洞,像是Exchange Server的ProxyShell或ProxyLogon。
研究人員表示,如果Exchange Server用戶沒什麼好目標的話,Cuba也可能轉向其他漏洞。這意謂著若軟體廠商釋出更新版,企業應儘可能及早安裝以防被駭。