به گزارش کارگروه حملات سایبری سایبربان؛ تیم تحقیقاتی تهدید و اطللاعات بلک بِری از مورد هدف قرار گرفتن زیرساخت های حیاتی سازمان های آمریکا و شرکت های فناوری اطلاعات آمریکای لاتین توسط گروه باج افزار کوبا خبر داد.
بلک بری این کمپین را در اوایل ژوئن 2023 شناسایی کرد و مدعی شد گروه باج افزاری کوبا با ارتقا سطح دسترسی به آسیب پذیری CVE-2023-27532 اقدام به سرفت داده ها هویتی از فایل های پیکربندی کرده است.
این نقص امنیتی به خصوص، محصولات بک آپ و تکثیر Veeam (این نرم افزار یک راه حل جامع برای تهیه نسخه پشتیبان، بازیابی و تکثیر (replication) داده های سرور های مجازی است) را تحت الشعاع قرار می دهد. یک کد مخرب مربوط به آن نیز از مارس 2023 در معرض دسترسی قرار گرفته است.
پیش از این نیز گروه باج افزاری FIN7 نقص امنیتی مذکور را تحت بهره برداری قرار داده بود.
بلک بری مدعی است محور دسترسی اولیه گروه کوبا ظاهرا داده های احراز هویت ادمین بوده که از طریق پروتکل دسترسی راه دور به دست آمده و حملات بروت فورس در آن دخالت نداشته است.
دانلود کننده مخصوص کوبا که باگ هَچ نام دارد با سرور کنترل و فرمان ارتباط برقرار می کند و سپس اقدام به دانلود فایل های DLL یا اجرای فرمان خواهد کرد.
دسترسی اولیه مهاجمین به محیط هدف از طریق ابزار تست نفوذ متااسپلویت شِل کد را مستقیما در حافظه رمزگشایی و اجرا می کند.
کوبا با بهره گیری از تکنیک جدید و حالا رایج BYOVD ابزارهای محافظتی نقاط انتهایی را غیر فعال می کند. این گروه همچنین با استفاده از ابزاری به نام 'BurntCigar' فرآیندهای کرنل مرتبط با محصولات امنیتی را از بین می برد.
کوبا آسیب پذیری CVE-2020-1472 در پروتکل نت لوگون مایکروسافت را تحت بهره برداری قرار می دهد و دسترسی مهاجمین به کنترل کننده های دامین دایرکتوری فعال را ارتقاء می بخشد.
طبق مشاهدات صورت گرفته، کوبا در مرحله پسا بهره برداری از بیکن های کوبالت استرایک و ""lolbins استفاده می کند.
این گروه باج افزاری روس همچنان به عنوان یک تهدید فعال به کار خود ادامه می دهد (4 سال). این مدت فعالیت و دوام برای یک گروه باج افزاری غیر معمول به حساب می آید!
