古巴勒索軟件攻擊背后的黑客使用新的RAT惡意軟件

與古巴勒索軟件相關的威脅參與者與以前未記錄的策略、技術和程序 (TTP) 相關聯，包括在受感染系統上名為ROMCOM RAT的新遠程訪問木馬。

新發現來自 Palo Alto Networks 的 Unit 42 威脅情報團隊，該團隊正在追蹤以星座為主題的綽號“ 熱帶天蝎座”的雙重勒索勒索軟件組。

古巴勒索軟件（又名COLDDRAW）于 2019 年 12 月首次被發現，并于 2021 年 11 月重新出現在威脅環境中，并歸因于對五個關鍵基礎設施部門的 60 個實體的攻擊，累積了至少 4390 萬美元的贖金。

在其數據泄露網站上列出的 60 名受害者中，有 40 名位于美國，這表明目標組織的全球分布不如其他勒索軟件團伙。

“古巴勒索軟件是通過 Hancitor 惡意軟件傳播的，該惡意軟件以將遠程訪問木馬 (RAT) 和其他類型的勒索軟件等竊取程序投放或執行到受害者網絡而聞名，”根據美國聯邦調查局2021 年 12 月的警報。調查（FBI）。

“Hancitor 惡意軟件攻擊者使用網絡釣魚電子郵件、Microsoft Exchange 漏洞、泄露的憑據或合法的遠程桌面協議 (RDP) 工具來獲得對受害者網絡的初始訪問權限。”

據趨勢科技稱，在隨后的幾個月中，勒索軟件操作已獲得升級，旨在“優化其執行，最大限度地減少意外系統行為，并在勒索軟件受害者選擇談判時為他們提供技術支持”。

其中最主要的變化包括在加密之前終止更多進程（即 Microsoft Outlook、Exchange 和 MySQL），擴展要排除的文件類型，并修改其勒索信以通過 quTox 為受害者提供支持。

據 Bleeping Computer 于 2022 年 5 月報道， Tropical Scorpius 還被認為與一個名為 Industrial Spy 的數據勒索市場共享連接，在古巴勒索軟件攻擊后被泄露的數據發布在非法門戶網站而不是其自己的數據泄露網站上出售。

Unit 42 在 2022 年 5 月觀察到的最新更新與部署勒索軟件之前采用的防御規避策略有關，該策略在雷達下飛行并在受感染的 IT 環境中橫向移動。

該公司指出：“Tropical Scorpius 利用了一個將內核驅動程序寫入名為 ApcHelper.sys 的文件系統的釋放器。” “這針對并終止了安全產品。dropper 沒有簽名，但是，內核驅動程序是使用在LAPSUS$ NVIDIA 泄漏中找到的證書進行簽名的。”

內核驅動程序的主要任務是終止與安全產品相關的進程以繞過檢測。攻擊鏈中還包含一個從遠程服務器下載的本地權限提升工具，以獲得系統權限。

反過來，這是通過觸發對 CVE-2022-24521（CVSS 得分：7.8）的利用來實現的，該漏洞是 Windows 通用日志文件系統 (CLFS) 中的一個漏洞，微軟于 2022 年 4 月將其作為零日漏洞進行了修補。

在權限提升步驟之后，通過 ADFind 和 Net Scan 等工具執行系統偵察和橫向移動活動，同時還使用 ZeroLogon 實用程序，該實用程序利用CVE-2020-1472獲得域管理員權限。

此外，此次入侵為部署名為 ROMCOM RAT 的新型后門鋪平了道路，該后門可以啟動反向 shell、刪除任意文件、將數據上傳到遠程服務器以及收集正在運行的進程列表。

據說根據 Unit 42 的遠程訪問木馬正在積極開發中，因為這家網絡安全公司在 2022 年 6 月 20 日發現了第二個上傳到 VirusTotal 數據庫的樣本。

改進后的變體支持更廣泛的 22 個命令集，包括下載定制有效負載以捕獲屏幕截圖以及提取所有已安裝應用程序列表以發送回遠程服務器的能力。

“熱帶天蝎座仍然是一個活躍的威脅，”研究人員說。“該組織的活動清楚地表明，使用更細致入微的工具混合使用更細致入微的工具來進行防御規避和本地特權升級的交易方法在入侵期間可能非常有效。

調查結果發布之際， Stormous、Vice Society、Luna、SolidBit和 BlueSky等新興勒索軟件組織在網絡犯罪生態系統中繼續擴散和發展，同時使用先進的加密技術和交付機制。

SolidBit 通過偽裝成不同的應用程序（例如英雄聯盟帳戶檢查工具以及 Social Hacker 和 Instagram Follower Bot 等工具）以針對流行視頻游戲和社交媒體平臺的用戶而脫穎而出，從而使演員能夠投放廣泛的潛在受害者網絡。

“SolidBit 勒索軟件是使用 .NET 編譯的，實際上是 Yashma 勒索軟件的變體，也稱為 Chaos，”趨勢科技在上周的一篇文章中指出。

“有可能 SolidBit 的勒索軟件參與者目前正在與 Yashma 勒索軟件的原始開發商合作，并可能修改了 Chaos builder 的一些功能，后來將其重新命名為 SolidBit。”

就 BlueSky 而言，眾所周知，它利用多線程加密主機上的文件以加快加密速度，更不用說采用反分析技術來混淆其外觀。

勒索軟件有效載荷以執行從攻擊者控制的服務器檢索的 PowerShell 腳本開始，也將自己偽裝成合法的 Windows 應用程序（“javaw.exe”）。

“勒索軟件作者正在采用現代先進技術，例如編碼和加密惡意樣本，或使用多階段勒索軟件交付和加載，以規避安全防御，”Unit 42指出。

“BlueSky 勒索軟件能夠通過多線程計算快速加密受害者主機上的文件。此外，該勒索軟件采用 API 散列等混淆技術來減慢分析師的逆向工程過程。”

關于古巴勒索軟件的新消息：來自熱帶天蝎座的問候