Cuba уязвимость Tropical Scorpius Palo Alto Networks утечка данных
Драйверы NVIDIA и новый RAT-инструмент способствуют незаметной кражи учетных данных.
Согласно отчету исследователей из Palo Alto Networks Unit 42 , названный ими злоумышленник «Tropical Scorpius» предположительно является участником группы вымогателей Cuba и использует ранее неизвестные техники, тактики и процедуры (TTP), в том числе новый троян удаленного доступа (RAT) и новый инструмент повышения привилегий.
Программа-вымогатель Cuba была запущена в 2019 году и обновилась в первом квартале 2022 года, получив, помимо прочего, обновленный шифровальщик с более тонкими параметрами. Киберпреступник Tropical Scorpius использует стандартную полезную нагрузку программы-вымогателя Cuba, которая практически не изменилась с момента запуска кампании в 2019 году.
Один из новых методов с июня 2022 года — использование законного, но недействительного сертификата NVIDIA для подписи драйвера ядра, удаленного на начальных этапах заражения. Сертификаты были украдены группой LAPSUS в марте 2022 года . Задача драйвера — обнаруживать процессы системы безопасности и завершать их, чтобы хакер мог избежать обнаружения в скомпрометированной среде.
Затем Tropical Scorpius использовал инструмент локального повышения привилегий, который содержит эксплойт для уязвимости повышения привилегий в Windows CVE-2022-24521 .
На следующем этапе Tropical Scorpius загрузил ADFind и NetScan для выполнения бокового перемещения. Также субъект угрозы развернул новый инструмент, который может получить кэшированные учетные данные Kerberos.
Также киберпреступник может использовать хакерский инструмент ZeroLogon, который эксплуатирует ошибку CVE-2020-1472
для получения привилегий администратора домена.
Эксперты обнаружили, что Tropical Scorpius развертывает «ROMCOM RAT», ранее неизвестное вредоносное ПО, которое обрабатывает связь с C2-сервером через ICMP-запросы, выполняемые через функции Windows API.
ROMCOM RAT поддерживает 10 команд:
Вернуть информацию о подключенном диске;
Вернуть списки файлов для указанного каталога;
Запустить обратную оболочку под именем «svchelper.exe» в папке «%ProgramData%»;
Загрузить данные в C2-сервер в виде ZIP-файла, используя IShellDispatch для копирования файлов;
Скачать данные и записать в «worker.txt» в папке «%ProgramData%»;
Удалить указанный файл;
Удалить указанный каталог;
Создать процесс с подменой идентификатора процесса (PID);
Обработать только ServiceMain, полученным от C2-сервера и приостановить процесс в течение 120 000 мс;
Итерировать запущенные процессы и собрать идентификаторы процессов.
Появление Tropical Scorpius и его новых TTP указывает на то, что программа-вымогатель Cuba превращается в более опасную угрозу. Точное количество жертв на данный момент не известно, но Cuba публиковала украденные файлы 4 жертв с июня 2022 года на своем onion-сайте. Учитывая время для переговоров, исследователи ожидают увидеть результаты кампаний во второй половине 2022 года.