Бесплатно Экспресс-аудит сайта:

26.02.2022

Серверы Microsoft Exchange атакованы вымогателем Cuba

Операторы вымогательского ПО Cuba используют уязвимости в Microsoft Exchange для получения начального доступа к корпоративным сетям и шифрования устройств. Специалисты ИБ-компании Mandiant отслеживают вымогательскую группировку под названием UNC2596, а саму программу-вымогатель — как COLDDRAW (также известную, как Cuba).

Киберпреступники в первую очередь нацелены на устройства Microsoft Exchange в США, а также в Канаде. Хакеры используют уязвимости ProxyShell и ProxyLogon в Microsoft Exchange для развертывания web-оболочек, троянов для удаленного доступа и бэкдоров с августа 2021 года. Бэкдоры включают маячки Cobalt Strike и инструмент удаленного доступа NetSupport Manager, но группировка также использует собственные инструменты Bughatch, Wedgecu, eck.exe и Burntcigar.

Wedgecut поставляется в виде исполняемого файла с именем check.exe, который представляет собой инструмент разведки для перечисления Active Directory через PowerShell.

Bughatch — загрузчик, извлекающий скрипты и файлы PowerShell с командного сервера. Вредонос загружается в память с удаленного URL-адреса с целью избежать обнаружения.

Burntcigar — утилита, способная завершать процессы на уровне ядра, используя уязвимость в драйвере Avast.

Злоумышленники повышают привилегии, используя украденные учетные данные, полученные с помощью доступных инструментов Mimikatz и Wicker. Затем они проводят разведку сети, используя Wedgecut, и перемещаются по сети с помощью RDP, SMB, PsExec и Cobalt Strike.