CUBA 勒索软件活动分析

主要发现

• Elastic Security 团队正在追踪一个有组织且以经济利益为目的的勒索软件和敲诈勒索组织，名为 CUBA 勒索软件
• CUBA 勒索软件的目标是中小型零售商，他们会窃取敏感信息，然后部署勒索软件
• CUBA 勒索软件采用“点名羞辱”的方法，发布窃取的数据，作为勒索加密货币付款的额外方法
• 我们正在发布 YARA 签名，并提供检测此勒索软件系列的搜索查询

有关 CUBA 勒索软件活动和相关恶意软件分析的信息，请查看我们详细介绍此内容的博客文章

• CUBA 恶意软件分析
• BUGHATCH 恶意软件分析

前言

Elastic Security 团队正在追踪一个威胁组织，该组织利用 CUBA 勒索软件，结合数据窃取和敲诈勒索，以北美和欧洲的零售商和制造商为目标，索要加密货币付款。该威胁组织在初始访问、横向移动、数据窃取、勒索软件部署和敲诈勒索方面，一直遵循有效的但重复的 TTP 集群。

初始访问

我们观察到的事件包括感染了大量初始访问机会的主机。其中包括从潜在的有害程序 (PUP) 到远程可执行漏洞的一切。因此，我们无法验证初始访问方式是什么，但有两种理论

• 访问代理
• 远程可利用的漏洞

虽然有很多方法可以进入目标网络，但我们将探讨 CUBA 威胁组织如何获得访问权限的最有可能的假设。

访问代理

作为介绍，访问代理是指在他们通过攻击链时，其“目标行动”是收集和维护对目标网络的远程访问，以便将访问权限出售给有其他目标的威胁组织。

这是勒索软件活动的常见策略，其目标是快速加密和敲诈受害者付款以恢复数据。在使用勒索软件工具包（勒索软件即服务）时，威胁参与者通常专注于快速在许多受害者之间移动，而不是专注于识别和利用受害者来部署其勒索软件所需的侦察。

勒索软件即服务包括很多开销，例如与受害者谈判、排除解锁过程故障以及管理加密基础设施。购买先前被利用的系统通常更容易，这使勒索软件活动的拥有者成为“shell 管理员”，而不是需要获得和维护对大量环境的访问权限。

我们观察到在多个有争议的网络中使用 Exchange 漏洞进行访问尝试后，开始推测可能使用了初始访问代理；但是，并非所有网络都收到了 CUBA 勒索软件。此外，我们观察到 1 月份的初始访问尝试，但直到 3 月份才观察到 CUBA 勒索软件，这与访问代理获得和维护持久性的同时寻找买家的行为一致。

在没有部署 CUBA 勒索软件的环境中，事件响应是迅速的，但是不完整的，并且重新获得了访问权限。观察到持久性后，对手被成功驱逐，并且从未部署 CUBA。

远程可利用的漏洞

我们观察到 ProxyLogon 漏洞的执行。先前的研究观察到该威胁组织利用 ProxyLogon 和 ProxyShell 漏洞来获得初始访问权限。

c:\windows\system32\inetsrv\w3wp.exe, -ap, MSExchangeOWAAppPool, -v, v4.0, -c, C:\Program Files\Microsoft\Exchange Server\V15\bin\GenericAppPoolConfigWithGCServerEnabledFalse.config, -a, \\.\pipe\[redacted], -h, C:\inetpub\temp\apppools\MSExchangeOWAAppPool\MSExchangeOWAAppPool.config, -w, (empty), -m, 0

在每种情况下，REF9019 活动都可以追溯到运行 Microsoft Exchange Server 的 Windows 服务器。尽管我们没有关于执行时这些机器的补丁级别或确切的漏洞利用的信息，但有确凿的证据表明，此时通常会利用公开可访问的 Exchange 服务器，以及与 CUBA 威胁参与者利用它们相关的具体报告。

此信息与此事件之前的活动不足以及之后的策略顺序相结合，表明在这两种情况下，对公开可访问的 Exchange 服务器的利用都启动了入侵。

在分析这些事件中的某些警报时，我们使用了 process.Ext.memory_region.bytes_compressed 字段中存在的数据，以及我们在Cobalt Strike 系列中描述的技术，来提取驻留在内存中的二进制文件和 shellcode。

建立据点

afk.ttf

此漏洞利用尝试大约在一次主要感染前 6 周发生。在此期间，似乎发生了策略转变。

afk.ttf 文件已被 VirusTotal 上的一些供应商标识为“ZenPak”的变体。ZenPak 被归类为与 Bazar 恶意软件家族相关的通用木马。BazarBackdoor 历史悠久，最近在勒索软件即服务活动中被发现。

最初，当由处理 Exchange 服务的 IIS 工作进程 (w3wp.exe) 创建 afk.ttf 时，通过 malicious_file 警报识别了该文件。

afk.ttf 文件是一个 64 位 Windows DLL，它具有一个导出项 bkfkals。接下来，afk.ttf 由 rundll32.exe（由 w3wp.exe 生成）加载，该文件在内存中解压 shellcode 并执行它。解压后的 shellcode 是来自攻击性安全框架 Metasploit 的 Meterpreter 有效负载。

在此之后，afk.ttf 使用一种注入技术，该技术允许注入的代码在进程主线程的入口点之前运行。这被称为早期鸟注入，在这种情况下，它用于将 shellcode 注入到 nslookup 8.8.8.8 的挂起进程中。一旦 shellcode 被去混淆以执行，Elastic Agent 就会识别并阻止 Metasploit 有效负载。

使用 process.Ext.memory_region.bytes_compressed 字段，我们能够从这两个警报中恢复内存快照，并验证 shellcode 是 Meterpreter，它是 Metasploit 框架的一部分。此外，我们还能够提取 C2 IP (159.203.70[.]39) 和 URI (/Time/cb6zubbpio...已截断...)。

最终，此据点要么从未建立，要么被放弃，因为在它大约 6 周后被重新利用之前，此端点没有进一步的活动。

add2.exe

两次感染的主要执行链都始于 malicious_file 警报，该警报是在由处理 Exchange 服务的 IIS 工作进程创建和执行 add2.exe 时触发的。这与之前对 afk.ttf 尝试观察到的技术相同。有趣的是，这些执行发生在不同国家/地区和不同行业垂直领域的受害者身上，时间相差约 15 分钟。

Elastic 恶意软件分析和逆向工程 (MARE) 团队能够在 VirusTotal 中找到此文件并将其下载以进行二进制分析。

BOOL sub_4013B0()
{
  int v1;
  int v2;
  WCHAR REMOTE_DESKTOP_USERS_groups_list[256];
  WCHAR ADMINS_groups_list[256];
  char password[44];
  wchar_t username[9];
  v2 = enum_local_groups(DOMAIN_ALIAS_RID_ADMINS, ADMINS_groups_list);
  v1 = enum_local_groups(DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS, REMOTE_DESKTOP_USERS_groups_list);
  if ( v2 || v1 )
  {
    wcscpy(username, L"Mysql");
    qmemcpy(password, L"KJaoifhLOaiwdhadx1@!", 0x2Au);
    if ( Add_user((int)username, (int)password) )
    {
      if ( v2 )
        add_user_groups(ADMINS_groups_list, (int)username);
      if ( v1 )
        add_user_groups(REMOTE_DESKTOP_USERS_groups_list, (int)username);
      hide_accountName(username); SpecialAccounts\\UserList regkey
    }
  }
  return enable_RDP();
}

MARE 确定此可执行文件执行多个功能

枚举本地管理员和 RDP 组。

 WCHAR REMOTE_DESKTOP_USERS_groups_list[256];
  WCHAR ADMINS_groups_list[256];
  char password[44];
  wchar_t username[9];
  v2 = enum_local_groups(DOMAIN_ALIAS_RID_ADMINS, ADMINS_groups_list);
  v1 = enum_local_groups(DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS, REMOTE_DESKTOP_USERS_groups_list);
  if ( v2 || v1 )

创建一个名为 Mysql 的新用户，将密码设置为 KJaoifhLOaiwdhadx1@!，并设置无过期日期 (0x2Au)。

  wcscpy(username, L"Mysql");
    qmemcpy(password, L"KJaoifhLOaiwdhadx1@!", 0x2Au);
    if ( Add_user((int)username, (int)password) )

将此用户添加到之前枚举的本地管理组和 RDP 组。

 if ( v2 )
        add_user_groups(ADMINS_groups_list, (int)username);
      if ( v1 )
        add_user_groups(REMOTE_DESKTOP_USERS_groups_list, (int)username);

设置此用户的 SpecialAccounts\UserList 注册表项，以隐藏用户在登录屏幕和控制面板中的显示。

 hide_accountName(username); regkey

通过在注册表中将 fDenyTSConnections 值设置为 false 来启用 RDP。

return enable_RDP();

总而言之，add2.exe 通过一个隐藏的用户和开放的远程访问服务建立了本地持久性。这使 REF9019 攻击者能够在发现、漏洞修补或不完全驱逐的情况下重新连接到此机器。

此外，VirusTotal 在图表页面上指出，此文件托管在 https://208.76.253[.]84。

尤其值得注意的是，在 add2.exe 的字符串中，我们识别出一个唯一的程序数据库文件 (PDB)，名为 AddUser.pdb。 PDB 文件用于将源代码的元素映射到编译后的程序。

在 VirusTotal 中搜索 F:\Source\WorkNew17\ 的十六进制值（内容：{463a5c536f757263655c576f726b4e65773137}），我们识别出另一个名为 ad.exe 的文件，该文件共享相同的文件夹结构，并包含另一个 PDB 文件 CmdDLL.pdb。

VirusTotal 在 图表页面上显示，此文件托管在 `https://108.170.31[.]115/add.dll` 。虽然我们没有观察到 add.dll，但我们认为它们是相关的，并且已将名称、哈希值和 IP 添加到我们的观测表，因为该 IP 地址 (108.170.31[.]115) 也被 报告用于分发 ra.exe（请参阅下面的 NetSupport 部分）。

使用相同的搜索条件，我们能够找到 三个 其他 文件，它们具有相同的 PDB 调试工件。SystemBC 是一个 socks5 后门，能够通过 TOR 进行通信。

远程访问工具

在建立滩头阵地后，REF9019 投放工具来管理攻击的后渗透阶段。值得注意的是，并非每次攻击都存在所有工具。目前尚不清楚使用一个工具而不是另一个工具的决定仅仅是由于各个操作员的偏好驱动，还是存在导致该决定的操作因素。

SystemBC

SystemBC 是一个 socks5 后门，能够通过 TOR 进行通信。

它通过在 SystemBC 被注入到 svchost.exe 进程后运行的恶意软件签名警报识别出来。

shellcode_thread 警报的 compressed_bytes 的后处理暴露了我们的样本利用的网络指示符，包括其命令和控制服务器 (104.217.8[.]100:5050)。

请查看 AhnLab 的 ASEC 博客，了解有关 SystemBC 功能的详细介绍。

让我们看一下从 process.Ext.memory_region.bytes_compressed 字段收集的 SystemBC 二进制文件的数据。

如果我们将它通过 strings 命令运行，它会变得更易读一些。如上所述，ASEC 团队所做的工作在描述 SystemBC 远程访问工具方面做得非常出色，因此我们将重点关注我们观察到的原子指标。

…truncated…
BEGINDATA
HOST1:104.217.8[.]100
HOST2:104.217.8[.]100
PORT1:5050
…truncated…
193.23.244[.]244
86.59.21[.]38
199.58.81[.]140
204.13.164[.]118
194.109.206[.]212
131.188.40[.]189
154.35.175[.]225
171.25.193[.]9
128.31.0[.]34
128.31.0[.]39
/tor/status-vote/current/consensus
/tor/server/fp/
…truncated…

HOST1 和 HOST2 的值是 SystemBC 工具充分记录的基础设施。 10 个 IP 地址的列表是 Tor 目录机构。 从列表中选择一个 IP 地址以获取 Tor 网络的共识数据。 然后它将根据其收到的设置（如 ASEC 先前报告的）启动 Tor 通信。

虽然我们无法确定 Tor 流量是否执行，但这可能是一种秘密泄露敏感数据的方式。

GoToAssist

GoToAssist 是一款远程桌面支持应用程序，具有一些合法用途，但也因其在技术支持诈骗中的使用而闻名。在此事件中，它被用来将恶意 DLL 下载到新创建用户的下载目录 (C:\Users\Mysql\Downloads\94-79.dll)。我们无法收集此文件，并且在事件中后期也没有观察到它，但是之前的报告表明，CUBA 活动中使用了名称相似的 DLL。

NetSupport

NetSupport Manager 是另一个客户端-服务器远程桌面管理应用程序。在此事件中，NetSupport 被命名为 ra.exe，并且由先前被利用的 IIS 工作进程 (w3wp.exe) 从 C:\programdata\ 目录写入和执行。ra.exe 已由先前识别的 IP 地址分发（请参阅上面的 add2.exe 部分）。

我们的样本是 NetSupportManager RAT，如 VirusTotal 上所示，并证实了 先前 有关其与 CUBA 勒索软件组一起使用的报告。在分析我们从内存中提取的进程数据时，我们可以看到

Cobalt Strike

这些入侵中使用了 Cobalt Strike，我们在审查 Target.process.thread.Ext.start_address_bytes（线程起始地址处的几个（通常为 32 个）原始操作码字节，十六进制编码）的值时确认了这一点。执行此操作后，我们观察到 Cobalt Strike 有效负载中常见的字节。

在分析我们从内存中提取的进程数据时，我们可以看到 dhl.jpg（来自 mvnetworking[.]com）和 temp.png（来自 bluetechsupply[.]com）正在用于命令和控制。 之前 的研究证实了这一点。

查看 Shodan 中的域（[1][2]），我们可以看到它们都被归类为 Cobalt Strike 信标 C2 基础设施。

这两个站点都由云提供商 Hivelocity, Inc. 托管。我们已请求删除这些域。

BUGHATCH

BUGHATCH 是 Mandiant 在其关于 UNC2596 的博客中给定的与 Cuba 勒索软件关联的下载器的名称。 我们在下面详细介绍了观察到的执行链和指标。

在这两种情况下，BUGHATCH 都是通过 PowerShell 脚本加载程序启动的。 其中一个执行是在将恶意 DLL 放到 Mysql 用户的下载文件夹 (C:\Users\Mysql\Downloads\14931s.dll) 后进行的。 下一阶段的下载 URI 在 Target.process.Ext.memory_region.strings 中找到 (https://64.235.39[.]82/Agent32.bin)。

在上面的示例中，我们观察到 agsyst82.ps1 从 64.235.39[.]82 下载 Agent32.bin，但我们无法收集 PowerShell 脚本。 然而，在执行开源研究时，我们在 ANY.RUN 上识别出一个 PowerShell 脚本，该脚本执行到相同 IP 和 URL 的网络连接 (https://64.235.39[.]82/Agent32.bin)。 该脚本在 ANY.RUN 的分析中名为 komar.ps1。 我们将这两个 PowerShell 脚本和网络活动关联在一起。

另一个 PowerShell 脚本由一个恶意文件 cps.exe 调用。此 PowerShell 脚本称为 komar2.ps1，并从 38.108.119[.]121 下载 Agent32.bin。

komar2.ps1 接下来尝试从 C:\Windows\Sysnative\svchost.exe 将自身注入到 svchost.exe 中。

对于上下文，C:\Windows\Sysnative 路径是一个合法的 Windows 目录，用于允许 32 位应用程序访问 64 位版本的 Windows 上的 System32 文件夹。 此路径也被观察为 Cobalt Strike 进程注入配置中的 SpawnTo 参数。

这个新注入的进程再次执行 komar2.ps1，并包含一个新的 PDB 条目 F:\Source\Mosquito\Agent\x64\Release\Agent.pdb。 如上所述，“komar”在波兰语中意为“蚊子”，并且是识别其他相关实体的一种很好的指示符。 我们在 PDB 的路径中看到了“Mosquito”。 虽然本身是一种薄弱的关联，但此示例中的 PDB 位于 F:\Source 中，该位置与我们在上面针对 add2.exe 观察到的 F:\Source\WorkNew## 相同。 它们本身并不是这两个样本之间可靠的参考点，但当它们一起比较时，可以将它们归类为“有趣的”。

根据对 Agent32.bin 文件的分析，我们认为这是 BUGHATCH 恶意软件。 据观察，BUGHATCH 在 CUBA 勒索软件事件中用作下载器。 这与我们观察 Agent32.bin 的方式一致。 Mandiant 团队在 UNC2596 博客中介绍了 BUGHATCH。

凭据收集、内部侦察和横向移动

通过将进程注入到 GoToAssistUnattendedUi.exe 二进制文件中观察到凭据收集。 这些似乎是 Go To Assist 套件的合法文件。 凭据收集是通过使用 Meterpreter 和 Mimikatz 完成的。

Meterpreter

正如我们在几个月前的初始感染中观察到的那样，观察到 Meterpreter 被用来使用 hashdump 模块收集 SAM 数据库。 与之前一样，这在 Target.process.Ext.memory_region.strings 字段中观察到。

Mimikatz

与 Meterpreter 工具标记类似，我们也观察到了 Mimikatz。Mimikatz 是一款攻击性安全工具，用于从受感染的系统中收集和注入密码。它使用 SEKURLSA::LogonPasswords 模块列出所有可用的提供程序凭据，这在 Target.process.Ext.memory_region.strings 字段中被观察到。

Zerologon 漏洞利用

接下来，威胁行动者试图使用名为 zero.exe 的文件，该文件用于利用 Zerologon 漏洞 来提升权限。该文件在 之前的报告 中被引用，并在易受攻击的域控制器上执行，以转储管理员的 NTLM 哈希值。这是横向移动和在环境中部署其他植入程序（如 Cobalt Strike）的常见策略。

PsExec

PsExec 是一个合法的实用程序，是 SysInternals 工具套件的一部分，用于在远程系统上以交互方式启动进程。PsExec 是一种常见的远程管理工具，既有良性用途，也有恶意用途。

虽然我们无法验证 PsExec 的具体使用方式，因为受感染主机上没有 SMB 解析器，但我们可以看到 PsExec 被用来在受感染主机之间移动文件。我们无法确认这是否不是本地 IT 人员的正常管理，但观察到的唯一活动是在受感染主机之间进行的，并且在其他已确认的恶意活动的时间窗口内。

使用 LOLBAS

利用系统自带的二进制文件、脚本和库 (LOLBAS) 是一种常用的方法，可以使用本机和良性工具进行恶意目的。这减少了需要移动到环境中的攻击者工具，并使在目标环境中运行的进程看起来更像合法的进程。

在一次入侵中，我们观察到 PsExec 被用于远程复制文件（参见 PsExec 部分），但在另一个环境中，我们观察到类似的使用 cmd.exe 移动文件的活动，将文件从一个主机移动到另一个主机。我们无法收集正在移动的文件进行分析，但它们是一个 DLL 和一个名为 d478.dll 和 d478.bat 的批处理文件，原子指标存储在 Observations 表中。

数据泄露

CUBA 组织属于勒索软件运营商的一个变种，他们使用敲诈作为一种机制，迫使受害者付款。

在这些情况下，一旦获得初始访问权限并站稳脚跟，威胁行动者就会识别潜在的敏感数据，并将其从环境中泄露出去，用于“点名羞辱”的威胁。

CUBA 组织在暗网上运行一个网站，他们在那里发布不付款的受害者的数据。CUBA 免费发布一些数据，对于其他更有利可图的数据，则提供付款选项。

受害者数据可以通过多种方式泄露以进行敲诈，BUGHATCH、Meterpreter 和 Cobalt Strike 都具有数据移动能力。

防御规避和目标行动

DefenderControl.exe

为了防止其恶意软件被检测到，威胁行动者使用 Defender Control 来禁用 Microsoft Defender，这是自 Vista 以来所有 Windows 系统内置的本机防病毒软件。

为了确保 Defender Control 继续运行，威胁行动者使用 svchost.exe 创建了一个计划任务。

CUBA 勒索软件

我们在上面详细介绍了观察到的执行链和指标，但请在此处查看 Elastic MARE 对此样本的详细逆向工程 这里。

钻石模型

Elastic Security 利用 钻石模型 来描述入侵的对手、能力、基础设施和受害者之间的高级关系。虽然钻石模型最常用于单次入侵，并利用活动线程（第 8 节）作为创建事件之间关系的一种方式，但以对手为中心的方法（第 7.1.4 节）允许使用一个（尽管杂乱的）单一钻石。

观察到的对手战术和技术

战术

使用 MITRE ATT&CK® 框架，战术代表技术或子技术的原因。它是对手的战术目标：执行行动的原因。

• 初始访问
• 持久化
• 权限提升
• 防御规避
• 凭据访问
• 发现
• 横向移动
• 命令与控制
• 数据泄露
• 影响

应该注意的是，我们没有观察到收集战术，但根据数据泄露和影响的证据，这将已经完成。

技术 / 子技术

技术和子技术代表对手如何通过执行行动来实现战术目标。

如本研究中指出的那样，这涵盖了大量时间内的多个受害者。据报道，CUBA 入侵集使用了不同的技术和子技术，但这些是我们具体的观察结果。

观察到的技术/子技术。

• 利用面向公众的应用程序
• 命令和脚本解释器 - PowerShell、Windows 命令 Shell
• 计划任务/作业 - 计划任务
• 启动或登录自动启动执行 - 注册表运行键/启动文件夹
• 创建帐户 - 本地帐户
• 操作系统凭据转储 - LSA 密钥
• 为影响而加密的数据
• 隐藏工件 - 隐藏窗口
• 伪装 - 匹配合法名称或位置
• 混淆的文件或信息
• 反射代码加载

检测

YARA

Elastic Security 创建了 YARA 规则来识别此 BUGHATCH 和 CUBA 勒索软件活动。

rule Windows_Trojan_Bughatch {
    meta:
        author = "Elastic Security"
        creation_date = "2022-05-09"
        last_modified = "2022-05-09"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "Bughatch"
        threat_name = "Windows.Trojan.Bughatch"
        reference_sample = "b495456a2239f3ba48e43ef295d6c00066473d6a7991051e1705a48746e8051f"
    strings:
        $a1 = { 8B 45 ?? 33 D2 B9 A7 00 00 00 F7 F1 85 D2 75 ?? B8 01 00 00 00 EB 33 C0 }
        $a2 = { 8B 45 ?? 0F B7 48 04 81 F9 64 86 00 00 75 3B 8B 55 ?? 0F B7 42 16 25 00 20 00 00 ?? ?? B8 06 00 00 00 EB ?? }
        $b1 = { 69 4D 10 FD 43 03 00 81 C1 C3 9E 26 00 89 4D 10 8B 55 FC 8B 45 F8 0F B7 0C 50 8B 55 10 C1 EA 10 81 E2 FF FF 00 00 33 CA 8B 45 FC 8B 55 F8 66 89 0C 42 }
        $c1 = "-windowstyle hidden -executionpolicy bypass -file"
        $c2 = "C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\PowerShell.exe"
        $c3 = "ReflectiveLoader"
        $c4 = "\\Sysnative\\"
        $c5 = "TEMP%u.CMD"
        $c6 = "TEMP%u.PS1"
        $c7 = "\\TEMP%d.%s"
        $c8 = "NtSetContextThread"
        $c9 = "NtResumeThread"
    condition:
        ($a1 or $a2 or $b1) or 6 of ($c*)
}

rule Windows_Ransomware_Cuba {
    meta:
        os = "Windows"
        arch = "x86"
        category_type = "Ransomware"
        family = "Cuba"
        threat_name = "Windows.Ransomware.Cuba"
        Reference_sample =
"33352a38454cfc247bc7465bf177f5f97d7fd0bd220103d4422c8ec45b4d3d0e"

    strings:
       $a1 = { 45 EC 8B F9 8B 45 14 89 45 F0 8D 45 E4 50 8D 45 F8 66 0F 13 }
       $a2 = { 8B 06 81 38 46 49 44 45 75 ?? 81 78 04 4C 2E 43 41 74 }
      $b1 = "We also inform that your databases, ftp server and file server were downloaded by us to our     servers." ascii fullword
      $b2 = "Good day. All your files are encrypted. For decryption contact us." ascii fullword
       $b3 = ".cuba" wide fullword

    condition:
        any of ($a*) or all of ($b*)
}

防御建议

• 启用 Elastic Security 内存和勒索软件保护

• 审查并确保您已部署最新的 Microsoft 安全更新

• 维护关键系统的备份，以帮助快速恢复

• 减少攻击面

• 网络分段

观察

在我们的调查中观察到的原子指标。

| | |