Группа вымогателей Cuba атакует с помощью новых вредоносных программ
«Лаборатория Касперского» опубликовала результаты расследования нового киберинцидента с участием Cuba. Это группа вымогателей, которая атаковала многие компании по всему миру, в том числе торговые, логистические, финансовые, государственные учреждения и промышленные предприятия в Северной Америке, Европе, Океании и Азии.
На этот раз злоумышленникам удалось внедрить вредоносное ПО, которое
долгое время оставалось незамеченным некоторыми системами расширенного
обнаружения. Шифровальщик Cuba использует техники однофайлового
развёртывания, которые позволяют действовать без загрузки вредоносной
библиотеки, что значительно затрудняет обнаружение угрозы.
В декабре 2022 года «Лаборатория Касперского» обнаружила три подозрительных файла в системе одной из заражённых компаний. Эти файлы запустили последовательность действий, которые привели к загрузке вредоносной библиотеки komar65, также известной как Bughatch. Bughatch представляет собой бэкдор, который разворачивается в памяти процесса и выполняет встроенный шелл-код в выделенном ему пространстве памяти, используя API Windows (VirtualAlloc, CreateThread, WaitForSingleObject), а затем подключается к командному серверу и ожидает дальнейших инструкций. Он может загружать такие программы, как Cobalt Strike Beacon и Metasploit. В ходе атаки используется инструмент Veeamp, что также указывает на причастность группы Cuba. При этом некоторые папки также содержат в названии русские слова, и это может быть ещё одним свидетельством того, что действует русскоговорящая группа.
Эксперты «Лаборатории Касперского» выявили дополнительные модули, которые расширяют функциональность данного вредоносного ПО. Среди них есть, в частности, модуль, собирающий информацию с заражённой системы и отправляющий её на сервер в виде HTTP POST-запроса.
Кроме того, «Лаборатория Касперского» обнаружила на VirusTotal новые типы вредоносных программ, использование которых приписывается авторам Cuba. Некоторые из них не были обнаружены решениями других поставщиков. Это новые версии вредоносного ПО Burntcigar, использующие зашифрованные данные для обхода антивируса.
При этом, как правило, шифровальщик Cuba использует техники однофайлового развёртывания, которые позволяют действовать без загрузки вредоносной библиотеки, что значительно затрудняет обнаружение угрозы. Операторы Cuba используют и общедоступные, и самописные вредоносные инструменты, постоянно совершенствуют их, а также используют такие тактики, как BYOVD (Bring Your Own Vulnerable Driver). Это атака, при которой злоумышленники выполняют вредоносные действия в системе с помощью легитимных подписанных уязвимых драйверов.
Отличительная черта группы Cuba — её участники подделывают временные метки компиляции, чтобы ввести исследователей в заблуждение. Например, временная метка образцов, найденных в 2020 году, была от 4 июня 2020 года, а более новые якобы скомпилированы 19 июня 1992 года. Уникальный подход вымогателей заключается в том, что они не только шифруют данные, но и кастомизируют атаки для кражи конфиденциальной информации, такой как финансовые документы, выписки из банков, счета компаний и исходный код. Особенно подвержены риску производители ПО.
Источник: Лаборатория Касперского
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.