Атаки группы вымогателей Cuba
Компания «Лаборатория Касперского» опубликовала результаты расследования нового киберинцидента с участием группы вымогателей Cuba. Эта группа атаковала компании по всему миру, в том числе торговые, логистические, финансовые, государственные учреждения и промышленные предприятия в Северной Америке, Европе, Океании и Азии. На этот раз злоумышленникам удалось внедрить вредоносное ПО, которое долгое время оставалось незамеченным некоторыми системами расширенного обнаружения. Шифровальщик Cuba использует техники однофайлового развертывания, которые позволяют действовать без загрузки вредоносной библиотеки, что затрудняет обнаружение угрозы.
В декабре 2022 г. «Лаборатория Касперского» обнаружила три подозрительных файла в системе одной из зараженных компаний. Эти файлы запустили последовательность действий, которые привели к загрузке вредоносной библиотеки komar65, также известной как Bughatch. Bughatch представляет собой бэкдор, который разворачивается в памяти процесса и выполняет встроенный шелл-код в выделенном ему пространстве памяти, используя API Windows (VirtualAlloc, CreateThread, WaitForSingleObject), а затем подключается к командному серверу и ожидает дальнейших инструкций. Он может загружать такие программы, как Cobalt Strike Beacon и Metasploit. В ходе атаки используется инструмент Veeamp, что также указывает на причастность группы Cuba. Некоторые папки содержат в названии русские слова, и это может быть еще одним свидетельством того, что действует русскоговорящая группа.
Эксперты «Лаборатории Касперского» выявили дополнительные модули, которые расширяют функциональность вредоносного ПО. Среди них есть, в частности, модуль, собирающий информацию с зараженной системы и отправляющий ее на сервер в виде HTTP POST-запроса.
Кроме того, «Лаборатория Касперского» обнаружила на VirusTotal новые типы вредоносных программ, использование которых приписывается авторам Cuba. Некоторые из них, подчеркивают в компании, не были обнаружены решениями других поставщиков. Это новые версии вредоносного ПО Burntcigar, использующие зашифрованные данные для обхода антивируса.
Шифровальщик Cuba, как правило, использует техники однофайлового развертывания, которые позволяют действовать без загрузки вредоносной библиотеки, что существенно затрудняет обнаружение угрозы. Операторы Cuba используют и общедоступные, и самописные вредоносные инструменты, постоянно совершенствуют их, используют такие тактики, как BYOVD (Bring Your Own Vulnerable Driver). Это атака, при которой злоумышленники выполняют вредоносные действия в системе с помощью легитимных подписанных уязвимых драйверов.
Отличительная черта группы Cuba – ее участники подделывают временные метки компиляции, чтобы ввести исследователей в заблуждение. Например, временная метка образцов, найденных в 2020 г., была от 4 июня 2020 г., а более новые якобы скомпилированы 19 июня 1992 г. Подход вымогателей заключается в том, что они не только шифруют данные, но и кастомизируют атаки для кражи конфиденциальной информации, такой как финансовые документы, выписки из банков, счета компаний и исходный код. Особенно подвержены риску производители ПО.