從加勒比海岸到用戶設備：Cuba勒索軟件詳析

充分的了解是打擊網絡犯罪的最佳武器。了解不同團伙的運作方式及其使用的工具有助于建立有效的防御和取證流程。本報告詳細介紹了Cuba組織的歷史，以及他們的攻擊戰術、技術和程序（TTP），旨在幫助組織在類似的威脅面前領先一步。

Cuba勒索軟件團伙

【Cuba數據泄露網站】

該組織的攻勢最早于2020年底成功引起了卡巴斯基研究人員的注意。當時，網絡犯罪分子還沒有使用“Cuba”這個綽號；他們當時還被稱為“Tropical Scorpius”。

Cuba主要針對美國、加拿大和歐洲的組織，并且已經針對石油公司、金融服務、政府機構和醫療保健提供商發動了一系列備受矚目的攻擊。

和最近大多數網絡勒索組織一樣，Cuba團伙也會對受害者的文件進行加密，并要求贖金以換取解密密鑰。該團伙慣于使用復雜的戰術和技術來滲透受害者的網絡，比如利用軟件漏洞和社會工程手段等。他們還已經知道使用受損的遠程桌面（RDP）連接進行初始訪問。

盡管一些研究人員認為它可能是另一個臭名昭著的勒索團伙Babuk的繼承者，但Cuba團伙的確切起源及其成員的身份尚不清楚。與許多其他同類組織一樣，Cuba也是一個勒索軟件即服務（RaaS）組織，允許其合作伙伴使用勒索軟件和相關基礎設施，并收取贖金分成。

該組織自成立以來已經歷多次更名。我們目前知道它使用了以下別名：

ColdDraw
Tropical Scorpius
Fidel
Cuba

今年2月，研究人員又發現該團伙的另一個名字——V Is Vendetta，這個名字偏離了黑客們最喜歡的Cuba主題。因此，研究人員推測這可能是其附屬組織所用的別名。

V Is Vendetta與Cuba團伙存在明顯的聯系：其網站托管在Cuba域名上：

http[:]//test[.]cuba4ikm4jakjgmkezytyawtdgr2xymvy6nvzgw5cglswg3si76icnqd[.]onion/

【V Is Vendetta的網站】

在撰寫本文時，Cuba組織仍然十分活躍，不斷有新的勒索受害者出現。

受害者研究

在本節中，研究人員使用了用戶自愿提供的數據和公開來源的受害者信息，例如其他安全供應商的報告和勒索軟件團伙本身的數據泄露站點。

研究顯示，該組織攻擊了世界各地的許多公司，涉及零售商、金融和物流服務、政府機構、制造商等。而從地理位置來看，大多數受害企業都位于美國，但在加拿大、歐洲、亞洲和澳大利亞也有受害者。

【Cuba受害者的地理分布】

勒索軟件分析

Cuba勒索軟件是一個單獨的文件，沒有額外的庫。樣本通常有偽造的編譯時間戳：那些在2020年發現的樣本上印有2020年6月4日，而最近的樣本上印有1992年6月19日。

Cuba勒索模式

【Cuba勒索模型】

就向受害者施加壓力的工具而言，Cuba組織目前存在四種勒索模式：

單一勒索：加密數據，并要求贖金解密。
雙重勒索：除了加密之外，攻擊者還竊取敏感信息并威脅要扣留加密密鑰，并在網上公布被盜的信息，除非受害者支付贖金。這是當今勒索軟件團伙中最流行的模式。
三重勒索：在“雙重勒索”的基礎上進一步威脅稱，要將受害者的內部基礎設施暴露于DDoS攻擊。在LockBit團伙受到DDoS攻擊（可能是受害者所為）后，該模式開始廣泛傳播。但公平地說，三重勒索的孤立案例早于LockBit案。
第四種模式是最不常見的，因為它意味著最大的壓力，因此成本更高。它增加了在受害者的投資者、股東和客戶中傳播數據泄露消息的操作。在這種情況下，沒有必要進行DDoS攻擊。這種模式的例證是最近弗吉尼亞州布魯菲爾德大學遭遇的黑客攻擊，AvosLocker勒索軟件團伙劫持了學校的緊急廣播系統，向學生和員工發送短信和電子郵件提醒，告知他們的個人數據被盜。黑客們還敦促他們不要相信學校的管理層，因為校方隱瞞了入侵的真實規模。

Cuba組織正在使用經典的“雙重勒索”模式，使用Xsalsa20對稱算法加密數據，并用RSA-2048非對稱算法加密密鑰。這種方式被稱為“混合加密”，是一種可以防止在沒有密鑰的情況下解密的加密安全方法。

Cuba勒索軟件樣本會避免加密具有以下擴展名的文件：.exe、.dll、.sys、.ini、. link、.vbm和.cuba，以及以下文件夾：

\windows\

\program files\microsoft office\

\program files (x86)\microsoft office\

\program files\avs\

\program files (x86)\avs\

\$recycle.bin\

\boot\

\recovery\

\system volume information\

\msocache\

\users\all users\

\users\default user\

\users\default\

\temp\

\inetcache\

\google\

該勒索軟件通過搜索并加密“%AppData%\Microsoft\Windows\Recent\”目錄中的微軟Office文檔、圖像、檔案和其他文件，而不是設備上的所有文件，從而節省了時間。它還終止所有用于加密任何可用數據庫的SQL服務。它還會查找本地和網絡共享內部的數據。

【Cuba勒索軟件終止的服務列表】

除了加密之外，該組織還會竊取其在受害者組織內部發現的敏感數據。黑客想要獲取的數據類型取決于目標公司所處的行業，但在大多數情況下，他們會竊取以下內容：

財務文件；
銀行對賬單；
公司賬戶明細；
源代碼（如果目標公司是軟件開發商）。

武器庫

該組織使用眾所周知的“經典”憑據訪問工具（如mimikatz）和自主編寫的應用程序。它還利用了受害公司所用軟件中的漏洞，且這些漏洞大多數是已知的問題，例如結合ProxyShell和ProxyLogon攻擊Exchange服務器，以及Veeam數據備份和恢復服務中的安全漏洞。

該組織“武器庫”中所涉及的惡意軟件、工具和安全漏洞具體如下所示：

惡意軟件

Bughatch
Burntcigar
Cobeacon
Hancitor (Chanitor)
Termite
SystemBC
Veeamp
Wedgecut
RomCOM RAT

工具

Mimikatz
PowerShell
PsExec
遠程桌面協議（RDP）

漏洞

ProxyShel：

CVE-2021-31207
CVE-2021-34473
CVE-2021-34523

ProxyLogon：

CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

Veeam漏洞：

CVE-2022-26501
CVE-2022-26504
CVE-2022-26500

ZeroLogon：

CVE-2020-1472

【攻擊庫映射到MITRE ATT&CK戰術】

利潤

黑客在贖金通知中提供了比特幣錢包的標識符，這些比特幣錢包的進出款總額超過3600比特幣，按1比特幣兌換28624美元的價格換算，價值超過1.03億美元。分析顯示，該團伙擁有眾多錢包，且不斷在這些錢包之間轉移資金，并使用比特幣混合器通過一系列匿名交易發送比特幣的服務，使追蹤資金來源變得更加困難。

【BTC網絡中交易樹的一部分】

Cuba相關事件調查和惡意軟件分析

主機：SRV_STORAGE

2022年12月19日，卡巴斯基研究人員在客戶主機上發現了可疑活動，并將其稱之為“SRV_STORAGE”。遙測數據顯示了三個可疑的新文件：

【卡巴斯基SOC發現的遙測數據中的可疑事件】

對kk65.bat的分析表明，它作為一個stager，通過啟動rundll32并將komar65庫（該庫運行回調函數DLLGetClassObjectGuid）加載到其中來啟動所有進一步的活動。

【研究人員找到的.bat文件的內容】

接下來，研究人員進一步解析了可疑DLL的內部。

Bughatch

komar65.dll庫也被稱為“Bughatch”，這是Mandiant在一份報告中給出的名字。

首先引起研究人員注意的是PDB文件的路徑。里面有個文件夾叫“mosquito”，俄語翻譯過來就是“komar”，后者是DDL名稱的一部分，表明該團伙可能包括說俄語的人。

【komar65.dll PDB文件的路徑】

當連接到以下兩個地址時，DLL代碼將Mozilla/4.0作為用戶代理：

Com，顯然用于檢查外部連接；
該團伙的命令和控制（C2）中心。如果初始ping通過，惡意軟件將嘗試與C2服務器建立連接。

【komar65.dll分析】

下圖是研究人員在被感染的主機上觀察到的活動。在Bughatch成功地與C2服務器建立連接后，它將會開始收集網絡資源的數據。

【Bughatch活動】

調查了C2服務器后，研究人員發現除了Bughatch，還有很多擴展惡意軟件功能的傳播模塊。其中一種是從受感染的系統收集信息，并以HTTP POST請求的形式將其發送回服務器。

【研究人員在Cuba C2服務器上找到的文件】

可以把Bughatch想象成各種各樣的后門，部署在進程內存中，在Windows API（VirtualAlloc、 CreateThread、WaitForSingleObject）的幫助下，在分配的空間內執行shellcode塊，然后連接到C2并等待進一步的指令。特別是，C2可能會發送命令來下載進一步的惡意軟件，如Cobalt Strike Beacon、Metasploit或進一步的Bughatch模塊。

【Bughatch操作圖】

SRV_Service主機

Veeamp

一段時間后，研究人員發現一個惡意進程在鄰近的主機上啟動，并將其命名為“SRV_Service”。

【惡意進程啟動】

Veeamp.exe是一個用C#語言編寫的定制數據轉儲程序，它利用Veeam備份和恢復服務中的安全漏洞連接到VeeamBackup SQL數據庫并獲取帳戶憑證。

【Veeamp分析】

Veeamp利用了以下Veeam漏洞：CVE-2022-26500、CVE-2022-26501、CVE-2022-26504。前兩種允許未經身份驗證的用戶遠程執行任意代碼，第三種允許域用戶執行相同的操作。在這三個漏洞中的任何一個被利用后，惡意軟件會在控制面板中輸出以下內容：

用戶名；
加密的密碼；
解密的密碼；
Veeam的Credentials表中的用戶描述：組成員、權限等。

這種惡意軟件并不是Cuba團伙所獨有的。研究人員也在其他組織的攻擊中發現了它，比如Conti和Yanluowang等。

在Veeamp完成工作后，研究人員發現在SRV_Service上看到的活動與SRV_STORAGE上觀察到的類似：

【在SRV_Service上捕獲的活動】

與SRV_STORAGE的情況一樣，惡意軟件將三個文件放入臨時文件夾，然后以相同的順序執行這些文件，并連接到相同的地址。

Avast反rootkit驅動程序

在Bughatch成功地建立了與C2的連接后，研究人員發現該組織使用了一種日益流行的技術：自帶脆弱驅動程序（Bring Your Own Vulnerable Driver，BYOVD）。

【利用脆弱的驅動程序】

惡意參與者在系統中安裝易受攻擊的驅動程序，然后將其用于各種目的，例如終止進程或通過特權升級到內核級別來逃避防御機制。

黑客很喜歡這些易受攻擊的驅動程序，因為它們都在內核模式下運行，具有高級別的系統訪問權限。此外，擁有數字簽名的合法驅動程序不會引起安全系統的任何危險信號，從而幫助攻擊者在更長的時間內不被發現。

在攻擊期間，惡意軟件在臨時文件夾中創建了以下三個文件：

aswarpot. Sys：Avast的合法反rootkit驅動程序，存在兩個漏洞：CVE-2022-26522和CVE-2022-26523，允許具有有限權限的用戶在內核級別運行代碼。
KK.exe：被稱為“Burntcigar”的惡意軟件。此次發現的文件是一個新的變種，它使用有缺陷的驅動程序來終止進程。
av.bat批處理腳本：幫助內核服務運行Avast驅動程序和執行Burntcigar的階段。

對BAT文件和遙測數據的分析表明，av.bat使用sc.exe實用程序創建了一個名為“aswSP_ArPot2”的服務，在С\windows\temp\目錄中指定了驅動程序的路徑，并將服務類型指定為內核服務。BAT文件然后在相同的sc.exe實用程序的幫助下啟動服務，并運行連接到易受攻擊的驅動程序的KK.exe。

【研究人員找到的.bat文件的內容】

Burntcigar

在調查Burntcigar時，研究人員注意到的第一件事是PDB文件的路徑，其中包含一個奇怪地命名為“Musor”（俄語譯為“垃圾”）的文件夾，這進一步表明Cuba團伙的成員可能會說俄語。

【KK.exe PDB文件的路徑】

研究人員進一步發現，手頭的樣本是一種新版本的Burntcigar，在事件發生時安全系統根本無法檢測到。黑客顯然更新了該惡意軟件，因為在之前的攻擊發生后，許多供應商能夠很容易地檢測到舊版本運行的邏輯。

如下示例截圖所示，新版本中所有關于要終止的進程的數據都是加密的，而舊版本公開顯示了攻擊者想要停止的所有進程的名稱。

【新舊版本Burntcigar的比較】

該惡意軟件會搜索與流行AV或EDR產品有關的進程名，并將其進程ID添加到堆棧中，以便稍后終止。

Burntcigar使用DeviceIoContol函數訪問易受攻擊的Avast驅動程序，指定包含安全問題的代碼的位置作為執行選項。這段代碼包含ZwTerminateProcess函數，攻擊者使用它來終止進程。

【Burntcigar分析】

后來，研究人員又在Exchange服務器和SRV_STORAGE主機上發現了利用Avast反rootkit驅動程序的類似活動。在這兩種情況下，攻擊者都使用BAT文件安裝不安全的驅動程序，然后啟動Burntcigar。

【鄰近主機上的Burntcigar活動】

SRV_MAIL主機（Exchange服務器）

2022年12月20日，研究人員將Exchange服務器添加到監視范圍。該主機雖被用作客戶網絡的入口點，但很容易受到大多數組的初始訪問向量的影響。特別是，SRV_MAIL存在ProxyLogon、ProxyShell和Zerologon漏洞仍未修復。這就是研究人員堅信攻擊者會通過Exchange服務器滲透到客戶網絡的原因所在。

【遙測數據開始傳入】

在SRV_MAIL上，SqlDbAdmin用戶顯示的活動與研究人員在以前的主機上觀察到的活動相同。

【SqlDbAdmin的惡意活動】

研究人員發現攻擊者使用合法的gotoassistui.exe工具在受感染主機之間傳輸惡意文件。

GoToAssist是技術支持團隊經常使用的RDP支持實用程序，但是當在系統之間移動文件時，該應用程序經常被濫用來繞過任何安全防御機制或響應團隊。

【通過gotoassistui.exe發送惡意文件】

研究人員還發現新的Bughatch樣本正在被執行。這些新樣本使用了稍微不同的文件名、回調函數和C2服務器，因為安全檢測系統當時成功阻止了舊版本的惡意軟件。

【Bughatch活動】

SqlDbAdmin

研究人員想了解這個SqlDbAdmin是什么？答案來自一個可疑的DLL addp.dll，研究人員在一臺被入侵的主機上手動找到了它。

【可疑動態庫】

研究人員發現它使用了WIN API函數NetUserAdd來創建用戶，且名稱和密碼在DLL中是硬編碼的。

【addp.dll分析】

當進一步研究該庫時，研究人員發現它使用RegCreateKey函數通過修改注冊表設置為新創建的用戶啟用RDP會話。然后，該庫將新創建的用戶添加到Special Account注冊樹中，以便將其從系統登錄屏幕中隱藏起來，這是一種有趣且非常規的持久性技術。在大多數情況下，惡意行為者在腳本的幫助下添加新用戶，而安全產品很少會遺漏這些腳本。

【addp.dll分析】

Cobalt Strike

研究人員還發現了一個可疑的DLL——ion.dll，它作為rundll32進程的一部分運行在Exchange服務器上，具有不尋常的執行選項。起初，研究人員認為這種活動與其之前在Bughatch上看到的類似。然而，進一步的分析表明，這個庫實際上是一個Cobalt Strike Beacon。

【執行可疑的ion.dll文件】

當查看ion.dll代碼時，研究人員注意到了執行設置和使用Cobalt Strike配置的函數。該庫使用VirtualAlloc函數來分配進程內存，以便稍后執行Cobalt Strike Beacon負載。

【ion.dll分析】

所有的配置數據都是加密的，但研究人員成功找到了用于解密的函數。為了找到Cobalt Strike C2服務器，研究人員檢查了加載了ion.dll的rundll32內存轉儲，并使用與受害者主機相同的設置運行。

【rundll32內存轉儲】

找出C2的名稱有助于研究人員在遙測數據中定位與該服務器的通信歷史。在惡意軟件連接到C2后，它將兩個可疑文件下載到受感染服務器的Windows文件夾中，然后執行這些文件。不幸的是，研究人員無法獲得這兩個文件進行分析，因為這些文件被從受感染的主機上刪除了。

【與攻擊者C2服務器的通信】

新惡意軟件

研究人員發現VirusTotal包含Cuba惡意軟件的新樣本，其文件元數據與上述事件中的相同。其中一些樣本成功地躲過了所有網絡安全供應商的檢測。研究人員對每個樣本都進行了分析。從下面的截圖中可以看到，這些是使用加密數據來規避反惡意軟件的Burntcigar新版本。

【新惡意軟件樣本】

BYOVD（自帶脆弱的驅動程序）

隨著各種APT和勒索軟件團伙將BYOVD添加到他們的武器庫中，這種攻擊目前正越來越受歡迎。

BYOVD指的是攻擊者使用已知包含安全漏洞的合法簽名驅動程序在系統內執行惡意操作。如果成功，攻擊者將能夠利用驅動程序代碼中的漏洞在內核級別運行任何惡意操作。

要理解為什么這是最危險的攻擊類型之一，就需要快速復習一下驅動程序是什么。驅動程序是一種軟件，它充當操作系統和設備之間的中介。驅動程序將操作系統指令轉換為設備可以解釋和執行的命令。驅動程序的進一步用途是支持操作系統最初缺乏的應用程序或功能。從下圖可以看到，驅動程序是介于用戶模式和內核模式之間的一層。

【用戶模式和內核模式交互圖】

在用戶模式下運行的應用程序控制系統的權限較少。它們只能訪問一個虛擬內存區域，該區域與系統的其余部分隔離并受到保護。驅動程序在內核內存中運行，它可以像內核本身一樣執行任何操作。驅動程序可以訪問關鍵的安全結構并修改它們。這樣的修改使系統容易受到使用特權升級、禁用操作系統安全服務和任意讀寫的攻擊。

Lazarus團伙早在2021年就開始利用該技術，通過濫用包含CVE-2021-21551漏洞的戴爾驅動程序，獲得了對內核內存的寫訪問權限，并禁用了Windows安全功能。

然而，遺憾的是，沒有針對合法驅動程序的萬無一失的防御，因為任何驅動程序都可能被證明存在安全漏洞。微軟已經發布了一份針對這類技術的建議列表：

啟用基于虛擬化的代碼完整性保護（Hypervisor-Protected Code Integrity，HVCI）；
啟用內存完整性保護；
啟用驅動程序數字簽名驗證；
使用易受攻擊的驅動程序過濾列表。

然而，研究表明，即使啟用所有的Windows保護功能并實踐所有上述建議也無濟于事，像這樣的攻擊無論如何都會通過。

為了對抗這種技術，許多安全供應商開始在他們的產品中添加自衛模塊，以防止惡意軟件終止進程并阻止利用脆弱驅動程序的每一次嘗試。而是事實證明，這種努力是有效的。

結語

Cuba網絡犯罪團伙使用了大量公開可用和定制的工具，并且仍在不斷更新各種技術和方法，包括極其危險的技術和方法（如BYOVD）。對抗這種復雜程度的攻擊需要能夠檢測高級威脅并保護安全特性不被禁用的復雜技術，以及一個龐大的、不斷更新的威脅知識庫，以幫助手動檢測惡意工件。