Тропический скорпион из Кубы атакует неизвестными инструментами

Чт 11 Август 2022 15:32

Согласно отчету исследователей из Palo Alto Networks Unit 42 , названный ими злоумышленник «Tropical Scorpius» предположительно является участником группы вымогателей Cuba и использует ранее неизвестные техники, тактики и процедуры (TTP), в том числе новый троян удаленного доступа (RAT) и новый инструмент повышения привилегий.

Программа-вымогатель Cuba была запущена в 2019 году и обновилась в первом квартале 2022 года, получив, помимо прочего, обновленный шифровальщик с более тонкими параметрами. Киберпреступник Tropical Scorpius использует стандартную полезную нагрузку программы-вымогателя Cuba, которая практически не изменилась с момента запуска кампании в 2019 году.

Один из новых методов с июня 2022 года — использование законного, но недействительного сертификата NVIDIA для подписи драйвера ядра, удаленного на начальных этапах заражения. Сертификаты были украдены группой LAPSUS в марте 2022 года . Задача драйвера — обнаруживать процессы системы безопасности и завершать их, чтобы хакер мог избежать обнаружения в скомпрометированной среде.

Затем Tropical Scorpius использовал инструмент локального повышения привилегий, который содержит эксплойт для уязвимости повышения привилегий в Windows CVE-2022-24521 .

На следующем этапе Tropical Scorpius загрузил ADFind и NetScan для выполнения бокового перемещения. Также субъект угрозы развернул новый инструмент, который может получить кэшированные учетные данные Kerberos.

Также киберпреступник может использовать хакерский инструмент ZeroLogon, который эксплуатирует ошибку CVE-2020-1472 для получения привилегий администратора домена.

Эксперты обнаружили, что Tropical Scorpius развертывает «ROMCOM RAT», ранее неизвестное вредоносное ПО, которое обрабатывает связь с C2-сервером через ICMP-запросы, выполняемые через функции Windows API.

ROMCOM RAT поддерживает 10 команд:

Появление Tropical Scorpius и его новых TTP указывает на то, что программа-вымогатель Cuba превращается в более опасную угрозу. Точное количество жертв на данный момент не известно, но Cuba публиковала украденные файлы 4 жертв с июня 2022 года на своем onion-сайте. Учитывая время для переговоров, исследователи ожидают увидеть результаты кампаний во второй половине 2022 года.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 254 дня 12 часов 23 минуты 6 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.