Cuba Ransomware Detection: Tropical Scorpius Threat Actors Deploy Novel RAT Malware in Targeted Attacks

[post-views]
August 15, 2022 · 5 min zu lesen
Cuba Ransomware Detection: Tropical Scorpius Threat Actors Deploy Novel RAT Malware in Targeted Attacks

Hochkarätige Ransomware-Angriffe veranschaulichen einen wachsenden Trend in der Cyber-Bedrohungsarena in den Jahren 2021-2022, wobei der Großteil der Ransomware-Affiliates an verschiedenen Ransomware-as-a-Service (RaaS)-Programmen teilnimmt. Im Mai 2022 bemerkten Cybersicherheitsforscher neuartige Gegnerkampagnen, die Kuba-Ransomware einsetzten, die der bösartigen Aktivität einer als Tropical Scorpius bekannten Hackergruppe zugeschrieben wird. In diesen jüngsten Angriffen wenden die Bedrohungsakteure neue TTPs an und erweitern ihr Gegner-Toolkit mit der Verwendung neuer Malware, die als ROMCOM RAT bezeichnet wird, und neuartiger bösartiger Tools – einem als KerberCache bekannten Kerberos-Tool und einem ausgeklügelten lokalen Privilegieneskalationstool.

Erkennen Sie die Kuba-Ransomware

Da die Ransomware-Landschaft durch anspruchsvollere TTPs bereichert wird, bemühen sich Cybersicherheitsexperten, den Angreifern einen Schritt voraus zu sein, um den eskalierenden Bedrohungen entgegenzuwirken. Die Detection as Code-Plattform von SOC Prime kuratiert eine Reihe neu veröffentlichter Sigma-Regeln um Cyberverteidiger proaktiv gegen aktiv sich entwickelnde Kuba-Ransomware-Angriffe zu verteidigen, die von den Tropical Scorpius-Hackern gestartet werden. Alle Erkennungen können in branchenführenden SIEM-, EDR- und XDR-Lösungen verwendet werden und sind an das MITRE ATT&CK®-Framework

angepasst. Folgen Sie den unten angegebenen Links, um sofortigen Zugriff auf die dedizierten Sigma-Regeln direkt über die Cyber Threats-Suchmaschine von SOC Prime zu erhalten und relevante kontextuelle Informationen zu erkunden. Diese Erkennungsalgorithmen werden von unseren produktiven Threat Bounty Program-Entwicklern erstellt, darunter Nattatorn Chuensangarun, Onur Ataliund Aung Kyaw Min Naing (N0lan). Durch die Teilnahme am Threat Bounty Programvon SOC Prime erhalten Detection Engineers und Threat Hunters die Möglichkeit, ihre professionellen Fähigkeiten zu monetarisieren und Anerkennung von Branchenexperten durch das Verfassen hochwertiger Erkennungsinhalte zu erhalten.

Mögliche Umgehung der Erkennung der Kuba-Ransomware durch Konfiguration des Kernel-Treibers auf das Dateisystem (via process_creation)

Diese kuratierte Hunting-Abfrage, entwickelt von Nattatorn Chuensangarun, erkennt die verdächtige Kuba-Ransomware-Aktivität, die einen Loader verwendet, der einen Kernel-Treiber mit dem Namen “ApcHelper.sys” auf das Dateisystem schreibt. Die Erkennung adressiert die Execution- und Impact-ATT&CK-Taktiken mit den entsprechenden Command and Scripting Interpreter (T1059)- und Service Stop (T1489)-Techniken.

Mögliche Ausführung der Kuba-Ransomware durch Erkennung zugeordneter Befehle (via process_creation)

Diese von Onur Atali entwickelte Threat-Hunting-Abfrage identifiziert die Ausführung der Kuba-Ransomware durch die Erkennung zugeordneter Befehle und sucht nach der bösartigen DLL-Datei, die von der Malware verwendet wird, um Dateien zum C2-Server zu übertragen. Die Sigma-Regel adressiert die folgenden Gegner-Taktiken:

  • Execution — mit den entsprechenden ATT&CK-Techniken, einschließlich Command and Scripting Interpreter (T1059) und User Execution (T1204)
  • Impact — mit Data Encrypted for Impact (T1486) und Disk Wipe (T1561) als primären Techniken

Mögliche Erkennung der kubanischen Ransomware-Tropical-Scorpius

Diese auf Sigma basierende Threat-Hunting-Regel erkennt die Gegneraktivität der Tropical Scorpius-Gruppe, einschließlich der Verwendung des Remote Access Trojan C2-Service-Ausführungspfads. Die oben genannte Erkennung adressiert die Taktiken Persistence und Execution mit den entsprechenden Create or Modify System Process (T1543)- und System Services (T1569)-Techniken.

Um aktuellen und aufkommenden Kuba-Ransomware-Angriffen entgegenzutreten, klicken Sie auf die Schaltfläche Detect & Hunt unten und erreichen Sie die gesamte Sammlung dedizierter Sigma-Regeln. Für eine optimierte Bedrohungsuntersuchung können nicht registrierte SOC Prime-Benutzer auch die Schaltfläche Explore Threat Context unten verwenden und zur Liste der kontextangereicherten Erkennungsalgorithmen für die Erkennung der Kuba-Ransomware gelangen, begleitet von MITRE ATT&CK und CTI-Referenzen und mehr relevanten Metadaten.

Detect & Hunt Explore Threat Context

Beschreibung der Kuba-Ransomware

Basierend auf den neuesten Untersuchungen des Unit 42 Bedrohungsaufklärungsteamserschien die Kuba-Ransomware-Familie Ende 2019 auf der Bildfläche. Kuba-Ransomware (auch als COLDDRAW bekannt) wurde zunächst über Hancitor Malware weit verbreitet, die üblicherweise über bösartige Anhänge auf die betroffenen Systeme fallen gelassen wurde. Die Betreiber der Kuba-Ransomware unter dem Namen Tropical Scorpius, auch als UNC2596 bezeichnet, wurden beim Ausnutzen von Schwachstellen im Microsoft Exchange Server verfolgt, einschließlich ProxyShell und ProxyLogon. Im Jahr 2021 tauchten die Betreiber der Kuba-Ransomware erneut auf und setzten das SystemBC Backdoor in ihren bösartigen Kampagnen ein, zusammen mit anderen berüchtigten RaaS-Kollektiven, darunter DarkSide und Ryuk.

Im Laufe der bösartigen Kampagnen der Gruppe, die bis 2019 zurückgehen, haben die Tropical Scorpius-Hacker ihre TTPs weiterentwickelt, um 2022 zu einer schwerwiegenderen Bedrohung zu werden. Cybersicherheitsforscher haben aufgedeckt, dass die oben genannten Bedrohungsakteure von ausgeklügelten Anti-Analyse-Tools und -Techniken Gebrauch machen, einschließlich der Verwendung eines Kernel-Treiber-Loaders, der auf Sicherheitsprodukte abzielt. Darüber hinaus beinhalten die neuesten Kuba-Ransomware-Angriffe die Verwendung eines lokalen Privilegieneskalationstools, das von einem Remote-Server durch PowerShell-Code heruntergeladen wurde, um das System-Token zu stehlen. Um dies zu erreichen, nutzen Angreifer die Schwachstelle in der Logik des Windows Common Log File Systems (CLFS) aus, die als CVE-2022-24521

verfolgt wird. Die Entwickler der Kuba-Ransomware verwenden auch mehrere Tools für Systemerkundungsaktivitäten, die sie mit verkürzten Namen auf kompromittierten Systemen ablegen, um die Erkennung zu vermeiden. Neben dem Einsatz beliebter Hacktools zum Auslesen von Anmeldeinformationen wie Mimikatz verwenden die Tropical Scorpius-Bedrohungsakteure auch ein neues benutzerdefiniertes Kerberos-Tool, das als KerberCache verfolgt wird, und nutzen ein berüchtigtes ZeroLogon-Dienstprogramm aus, um die CVE-2020-1472 Sicherheitslücke zu nutzen und Domain-Administratorrechte zu erlangen.

Das Gegner-Toolkit, das die neuesten Kuba-Ransomware-Operationen illustriert, wird auch durch ein benutzerdefiniertes Remote-Access-Trojaner (RAT) namens ROMCOM RAT bereichert, das ein einzigartiges C2-Protokoll enthält.

Der steigende Trend zu fortschrittlicheren Kuba-Ransomware-Angriffen im Laufe des Jahres 2022 hebt die Notwendigkeit hervor, proaktive Erkennungsstrategien umzusetzen, um den Angreifern einen Schritt voraus zu sein. Durch die Teilnahme an der SOC Prime Detection as Code-Plattformkönnen Cyberverteidiger die Fähigkeit zur Bedrohungserkennung steigern und die Geschwindigkeit des Threat-Hunting schneller und effizienter beschleunigen. Cybersicherheitsbegeisterte können sich auch in das Threat Bounty Program engagieren, um ihre Detection Engineering-Fähigkeiten zu verfeinern, indem sie Sigma- und YARA-Regeln verfassen, sie mit Branchenkollegen teilen und finanzielle Vorteile für ihre Beiträge erzielen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko