卡巴斯基公布了对臭名昭著的Cuba勒索软件组织活动的研究。该网络犯罪团伙最近部署了新的恶意软件,可躲避高级检测,并对全球的组织实施攻击,在各行各业都留下公司被攻击的痕迹。
2022年12月,卡巴斯基在客户系统中检测到一起可疑事件,并发现了三个可疑文件。这些文件触发了一系列导致加载Komar65库(也被称为BUGHATCH)的操作。
BUGHATCH是一种复杂的后门,部署在进程内存中。它使用 Windows API 在分配给它的内存空间内执行嵌入式 shellcode 块,其中包括各种功能。之后,它会连接命令和控制(C2)服务器,等待进一步的指令。该恶意软件还能够接收命令,下载诸如Cobalt Strike Beacon和Metasploit等软件。这些攻击中使用了Veeamp,表明Cuba网络犯罪团伙参与其中。
值得注意的是,PDB文件引用了“komar”文件夹,这是一个俄语单词,意思是“蚊子”,表明该团伙中可能存在讲俄语的成员。卡巴斯基的进一步分析揭示了Cuba组织分发的其他模块,这些模块增强了恶意软件的功能。其中有一个模块负责收集系统信息,然后通过HTTP POST请求将其发送到服务器。
卡巴斯基继续调查,在VirusTotal上发现了来自Cuba组织的新恶意软件样本。其中一些恶意软件样本设法逃避了其他安全供应商的检测。这些样本代表了BURNTCIGAR恶意软件的全新迭代,它们使用加密数据来逃避反病毒检测。
“我们的最新发现强调了获取最新报告和威胁情报的重要性。随着Cuba这样的勒索软件团伙不断发展和完善他们的策略,保持领先地位对于有效缓解潜在攻击至关重要。随着网络威胁格局的不断变化,知识是抵御新兴网络犯罪的终极防御手段,”卡巴斯基网络安全专家Gleb Ivanov表示。
Cuba 使用的是一种单文件勒索软件,由于无需额外库即可运行,因此难以检测。这个说俄语的网络犯罪组织以其广泛的影响力而闻名,其攻击的目标行业包括零售、金融、物流、政府和制造业,遍布北美、欧洲、大洋洲和亚洲。他们混合使用公共和专有工具,定期更新他们的工具包并使用BYOVD(自带易受攻击的驱动程序)等策略。
他们操作的一个特点是更改编译时间戳以误导调查人员。例如,2020年发现的一些样本的编译日期为2020年6月4日,而较新版本的时间戳显示为源自1992年6月19日。他们使用的独特攻击方法不仅包括加密数据,还包括定制攻击以窃取敏感信息,如财务文档、银行记录、公司账户和源代码。软件开发公司面临的风险尤其明显。尽管该威胁组织已经得到了一段时间的关注,但其仍然充满活力,不断完善他们的技术。
请访问Securelist.com阅读完整报告。
卡巴斯基鼓励企业和组织遵循以下最佳实践,以保护您的组织免受勒索软件的攻击:
· 确保您使用的所有的设备上的软件保持更新,避免攻击者利用漏洞入侵您的网络。
· 将您的防御策略集中在检测横向移动和数据如何被泄露到互联网上。要特别注意出站流量以检测网络罪犯的连接。建立入侵者无法篡改的离线备份。确保在需要时,您能在紧急情况下快速访问它们。
· 为所有端点都启用反勒索软件保护。免费的卡巴斯基反勒索软件工具企业版能够保护计算机和服务器免受勒索软件和其他类型的恶意软件的侵害,阻止漏洞,并且与已经安装的安全解决方案兼容。
· 安装反APT和EDR解决方案,启用高级威胁发现和检测功能,进行及时的事件调查和修复。为您的SOC团队提供最新的威胁情报,并定期对他们进行专业培训,提高他们的技能。以上所有服务都可以通过卡巴斯基专家安全框架获取。
· 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。为了帮助企业在这个动荡的时代实现有效的防御,卡巴斯基宣布免费提供独立的、不断更新的、来自全球的关于正在进行的网络攻击和威胁的信息。请点击这里获取免费访问。