目录

勒索软件系列报告之三丨疯狂收割的勒索软件Cuba

世界经济论坛发布的《2022年全球网络安全展望》报告显示,勒索软件攻击在全球网络名列前茅网络威胁关心问题中排名名列前茅,成为全球广泛关注的网络安全难题。天际友盟双子座实验室推出了《勒索软件系列报告》,本系列报告正是以当前最为活跃的勒索软件攻击为主题展开,聚焦暗网中多个活跃的勒索软件组织或团伙,梳理各个勒索软件的发展阶段、剖析关键技术细节、盘点重大攻击事件,对勒索软件组织或团伙进行全面画像,希望为未来应对勒索软件攻击提供有力的参考。

1672814475_63b51f8b044c1b9f6bb25.png!small?1672814476936

《疯狂收割的勒索软件Cuba》是本系列报告的第三篇,内容包括背景技术详情Cuba背后的组织总结附录五个章节,以下为报告内容节选。

1672814478_63b51f8ee384811adce7d.png!small?1672814480197

背景

Cuba勒索软件家族于2019年12月首次被发现,距今已经活跃三年多的时间。但是,该勒索团伙通过不断的改变策略和工具,使其在2022年变得更加积极活跃,成为极具威胁的勒索软件家族之一。2022年,该勒索软件背后的组织被追踪为威胁组织Tropical Scorpius,该组织主要通过后门软件在攻击活动中分发Cuba勒索软件。

Cuba勒索软件目前已经攻击了全球100多个国家或组织,接近80%的受害者位于北美,但它也攻击了欧洲和其他地区的国家,其攻击行业非常广泛,涉及政府、制造、物流和运输、房地产、金融、医疗保健、信息技术、能源、教育、公共事业、高新技术等领域。

自该组织于2019年首次浮出水面以来,Cuba勒索软件团伙在其泄密网站上总共披露了67个组织,这还不包括一些已经付了赎金的公司。和其它勒索软件相比较,该勒索团伙运作非常成功,截至2022年8月,FBI披露Cuba组织在攻击全球100多名受害者后,索要总计超过1.45亿美元赎金,并且已成功赚到了超过6000万美元的赎金,收益非常可观。Cuba组织攻击的目标主要国家为美国,行业则集中在金融、政府设施、医疗保健、关键制造、信息技术五大关键基础设施领域的实体或公司。

技术详情

攻击方式

Cuba勒索软件早期一般通过Hancitor加载有效载荷,Hancitor恶意软件是一种加载程序,以将远程访问木马 (RAT) 和其他类型的勒索软件等窃取程序投放到受害者的网络上而闻名。

Cuba攻击活动中初始恶意软件的投放主要通过以下途径:

漏洞利用:利用商业软件中的已知漏洞,如Microsoft Exchange Server中的ProxyShell和ProxyLogon漏洞;自2022年春季以来,Cuba利用了更多的已知漏洞,包括利用Windows通用日志文件系统(CLFS)驱动程序中的CVE-2022-24521漏洞窃取系统令牌并提升权限,利用CVE-2020-1472(也称为“零登录”)漏洞获取域管理权限等。

网络钓鱼活动:通过网络钓鱼邮件、恶意附件等传递恶意载荷;

泄露或被盗凭据:攻击者通过获取泄露的凭据数据或购买被盗数据进行登录尝试;

合法工具及服务: Cuba使用合法的Windows服务(例如PowerShell、PsExec等)远程部署有效负载;或使用合法的远程桌面协议(RDP)工具来获得对受害者网络的初始访问权限。

总体来说,Cuba喜欢通过Hancitor(又名Chancitor)恶意软件,利用钓鱼邮件、被盗凭据、Microsoft Exchange漏洞或远程桌面协议工具传送信息窃取程序、远程访问木马和勒索软件到受害者的系统。在目标网络站稳脚跟后,Cuba使用合法的Windows服务远程部署有效负载,并利用Windows管理员权限远程执行勒索软件和其他进程。

攻击过程

Cuba勒索组织一直在不断的开发自己的恶意软件,变更TTP,部署新的工具集。 我们以Tropical Scorpius组织攻击过程为例看一下Cuba勒索组织整个攻击流程。

1.初步侦察建立立足点

Tropical Scorpius组织利用Microsoft Exchange基础设施的漏洞作为最初的攻击媒介进行侦察活动,以识别易受攻击的系统。随后,Tropical Scorpius会部署Webshell,以在受害者网络中建立立足点。

2.窃取凭证升级权限

Tropical Scorpius在攻击活动中使用有效帐户的凭据来提升权限。攻击者还利用了Mimikatz和WICKER等凭证窃取工具。攻击者通常会操纵或创建Windows帐户并修改文件访问权限,将其添加到管理员和RDP组中。

3.内部侦察识别目标

成功入侵后,攻击者的目的是识别活动的网络主机,并识别要过滤的文件,以便在其后面的勒索攻击中使用。攻击者在此过程主要使用了侦察工具WEDGECUT,其文件名通常为check.exe。它通过向名为comps2.ps1的PowerShell脚本生成的主机列表发送PING请求来标识活动主机,该脚本使用Get-ADComputer cmdlet枚举活动目录。攻击者以交互方式浏览文件系统以识别感兴趣的文件。

4.横向移动部署后门

攻击者使用了多种横向移动方法,包括RDP、SMB和PsExec等,横向移动后,攻击者会部署各种后门,包括公开可用的NetSupport RAT,以及Cobalt Strike BEACON和BUGHATCH,这些后门通常使用内存加载器TERMITE进行部署,并且使用PowerShell启动执行。

5.命令与控制

在Cuba与服务器交互过程中,研究人员发现了一个自定义远程访问木马,其中包含独特的命令和控制协议。基于二进制文件中的字符串以及功能,将其命名为 ROMCOM RAT。ROMCOM会收集系统和用户信息,并尝试通过WinHTTP API将其发送到硬编码的C2服务器。如果成功,则相应地解析和处理响应。如果连接失败,ROMCOM会尝试使用ICMP请求连接到C2服务器并与之通信。

目前ROMCOM 2.0版本似乎正在积极开发中,因为在2022年6月,研究人员发现了上传到VirusTotal的类似样本,该版本还扩展了可处理命令的列表,其在现有10个命令的基础上又增加了10个,包括添加了下载专门用于对系统进行单个或多个屏幕截图的有效负载,以及提取所有已安装程序的列表以发送回C2的功能。

6.加密数据完成任务

为了完成勒索任务,Tropical Scorpius试图窃取相关用户文件,然后识别和加密联网机器。为了方便加密,攻击者使用了一个名为shar的批处理脚本,然后通过Cuba勒索软件进行加密。在最近一次的入侵中,Tropical Scorpius使用名为av.bat的批处理脚本部署了BURNTCIGAR恶意软件。BURNTCIGAR是2021年底首次发现的恶意程序,它可以终止与端点安全软件相关的进程,以允许勒索软件和其他工具自由执行。

加密过程

虽然Cuba不断开发和更新他们的工具集,但Cuba勒索软件的核心有效载荷自2019年以来基本保持不变。Cuba使用ChaCha20密码算法进行对称加密和RSA加密来保护ChaCha20密钥。Cuba是多线程的,通过资源访问同步进行快速的加密,以避免文件损坏。

Cuba会使用 GetKeyboardLayout API 检索受害者的活动区域设置标识符。当俄语在计算机支持的语言列表中时,进程会删除并使用简单的命令行终止自身而不再加密文件系统。

Cuba会根据文件大小对文件进行不同方式的加密。如果文件长度小于0x200000字节,则对整个文件进行加密。如果大于则会以0x100000字节的块对文件进行加密,加密块之间的中断根据整体大小而有所不同。每个加密文件还带有一个初始的1024字节标头,其中包含FIDEL.CA,然后是包含特定ChaCha密钥的RSA-4096加密块和随机数。成功加密文件后,扩展名.cuba会附加到文件名中。

另外,Cuba在近期活动中还增加了两个更新,一是建立了将在运行时终止的目标进程和服务列表,并增加了目录和扩展名的数量以避免加密;二是相关通信不再只依赖于Tor站点,还通过TOX提供通信,由于其安全的消息传递功能,TOX在勒索软件组织中逐渐变得越来越流行。加密数据以后,Cuba会留下赎金记录,早期记录如下所示:

1672814535_63b51fc78464aa162204d.png!small?1672814536779

图 早期Cuba Ransomware note

后期记录中添加了TOX方式:

1672814542_63b51fcee767f5d7093dc.png!small?1672814544237

图 Cuba ransomware note

Cuba背后的组织

黑客组织Tropical Scorpius

2022年,结合Cuba勒索软件的多起攻击活动,研究人员把其背后的组织归结为Tropical Scorpius(又名UAC-0132、UNC2596)。Tropical Scorpius一直利用相同的Cuba勒索软件有效载荷进行攻击活动。Tropical Scorpius已使用Cuba勒索软件攻击了不同领域的组织,包括法律服务、地方政府、制造、运输和物流、批发和零售、金融服务、医疗保健、高科技、公用事业、能源、建筑和教育等行业。

Cuba的关联组织

自2022年春季以来,多个安全厂商和开源报告已确定Cuba勒索软件组织与工业间谍勒索软件攻击者之间存在明显联系,具体表现在:

1)工业间谍勒索软件使用的赎金票据与Cuba赎金票据非常相似,两份票据都包含完全相同的联系信息;

2)根据第三方报道,疑似Cuba勒索软件组织入侵了一家外国医疗保健公司,但攻击者却部署了工业间谍勒索软件,并且其配置与Cuba勒索软件有明显的相似之处;

3) Unit 42观察到一个Cuba勒索软件的有效载荷用于加密受感染系统上的文件并将.cuba扩展名附加到文件中,但随后观察到泄露的数据却在工业间谍勒索软件网站上发布出售。虽然不确定为什么Tropical Scorpius攻击者会利用工业间谍官网而不是他们自己的泄密站点来披露这些数据,但显示易见,两者的关系的确比较密切,其背后的组织极有可能为同一伙人。

工业间谍勒索软件官网:

1672814581_63b51ff5cc7c165dee9a5.png!small?1672814583365

图 Industrial spy 官网

下图为工业间谍勒索网站披露的三类数据,名列前茅类PREMIUM数据为7天内售卖并且只卖一手的数据;如果数据超过7天,则移到GENERAL,可进行多次售卖且价格较低;第三类为FREE数据,可以无偿免费下载,并且在数据库里永不删除。

1672814599_63b52007dbd7cc9003c78.png!small?1672814601277

图 工业间谍售卖数据类型

下图为Cuba勒索软件运营者在暗网的数据披露网站,目前其官网上总共发布了67家公司的数据,其中66家数据已经是free状态,只有一家是待售状态。

1672814619_63b5201b5729fd719a7af.png!small?1672814621079

Cuba列出来的攻击公司列表:

1672814627_63b52023432784798c7be.png!small?1672814628611

除了免费披露的数据,Cuba官网目前只公布了一家需付费公司或组织的数据(可能由于交易原因,Cuba 并没有直接指明具体是哪家公司),付费内容如下图所示:

1672814636_63b5202c05d79fb6c15c7.png!small?1672814638313

图  需付费内容

总结

Cuba勒索软件虽然存在时间较长,但其攻击活动在2022年异常活跃,其采取双重勒索策略,攻击目标广泛,运作非常成功,目前已经赚取了比较丰厚的赎金。虽然研究人员确认Tropical Scorpius为其背后的组织,但Cuba勒索软件不一定只为一个组织所使用,很有可能有新的组织和活动继续使用Cuba。 从攻击目标看,Cuba攻击者并未回避敏感目标,他们攻击的行业非常广泛,包括政府及非营利性组织,这说明该组织运作庞大,目标多样化,且攻击成功率并不低。但是Cuba并不攻击以俄语作为主要语言的国家,其主要目标还是针对美国的公司,以获取经济利益为其首要目的。

点击此处,获取完整报告。

文章来自:https://www.freebuf.com/