キューバ ランサムウェア脅威グループ感染を検出：米国の重要インフラ組織への攻撃に新たなツールを適用

2019年以来活動しており、 Cubaランサムウェアのオペレーターは 攻撃手法を常に進化させ、止まる気配がありません。米国とラテンアメリカの企業に対する最近の悪意のある操作は、新旧のツールを組み合わせています。特に、Cubaの管理者はVeeamのエクスプロイト（CVE-2023-27532）を攻撃ツールキットに追加し、ターゲットユーザーから機密データを取得しています。

Cubaランサムウェアグループの攻撃を検出

ランサムウェアの状況に詳細なTTPが追加される中、サイバーセキュリティの専門家は早期段階での侵入の可能性を見逃さないために、敵を上回ろうと努力しています。集団サイバー防御のためのSOC Primeプラットフォームは、セキュリティパフォーマーが常に進化するCubaランサムウェア攻撃チェーンを積極的に検出するのを支援する一連の関連Sigmaルールをキュレーションしています。すべての検出アルゴリズムは、主要なSIEM、EDR、XDR、およびデータレイク形式と互換性があり MITRE ATT&CK v12.

をマッピングしています。「 検出を探る 」ボタンをクリックして、ATT&CKのリファレンスやCTIリンクを含む、文脈情報で強化された全データセットを取得してください。

検出を探る

Cubaランサムウェア攻撃の分析

Cubaランサムウェアのオペレーターは4年以上にわたり悪意のある操作を実行し、防御者にとって難しい相手となっています。2021年に、ハッカーは他の悪質なRaaS提携者とともに SystemBC マルウェアを配布し、 DarkSide and やや CVE-2020-1472などと連携しました。2022年には、新しいTTPとより洗練された攻撃者ツールキット、例えばROMCOM RAT、悪名高いZeroLogonの脆弱性 ROMCOMバックドア.

を悪用し、再び活動を活発化させました。2022年10月には、ウクライナの国家機関を狙った大規模なフィッシングキャンペーンに関連付けられたハッキング集団「Tropical Scorpius」として追跡され、

を拡散しました。Cubaのランサムウェアオペレーターは、ロシアの攻撃勢力と関連があるとされており、異なるマルウェアサンプルや攻撃ツールを頻繁に実験しています。コード分析によっても、このグループがロシア起源であるという理論が支持されています。 研究を公開 しました。敵は米国とラテンアメリカの組織を標的にしています。ハッカーは、以前の攻撃者キャンペーンで成功を収めたツールの他、新しい攻撃能力を活用しています。最近の攻撃では、Cubaの脅威グループはVeeam Backup & Replicationコンポーネントの脆弱性CVE-2023-27532を悪用しようとしています。成功したエクスプロイトは攻撃者がバックアップインフラストラクチャのホストにアクセスすることを可能にします。

上記のグループによる最新のサイバー攻撃のBlackBerry研究者による調査で、敵がBUGHATCHとBURNTCIGAR、 Metasploit、および Cobalt Strike のフレームワークを利用し、複数の LOLBINS と、公開されているいくつかのPoCエクスプロイトコードサンプルを使用していることが明らかになりました。

多くのランサムウェアの管理者と同様に、Cubaは二重恐喝を適用し、敵が被害者の敏感なデータを流出させて暗号化し、身代金を強要することを可能にしています。2023年秋、CISAとFBIは、Cubaグループの敵対行動に関連する脅威の増加について防御者に通知し、組織がサイバーセキュリティ態勢を最適化するのを支援する 共同サイバーセキュリティ通達 を発表しました。Cubaはサイバー脅威のアリーナでの活動中に類似のTTPを適用し、2023年にはわずかにこれらを更新しました。最近の米国の組織を標的とした攻撃の1つでは、敵が資格情報再利用技術を適用しました。以前には、IAB（Initial Access Brokers）やセキュリティの穴を悪用してターゲットシステムへのアクセスを維持する試みを成功させました。

Cuba has been applying similar TTPs throughout their entire activity in the cyber threat arena, slightly updating them in 2023. In one of the most recent attacks targeting the U.S. organization, adversaries applied a credential reuse technique. Earlier, they made successful attempts to exploit security gaps or Initial Access Brokers (IABs) to maintain access to the targeted systems. 

一般に、初期攻撃段階では、CubaはBUGHATCHダウンローダーを利用してC2との接続を確立し、さらなるペイロードのドロップ、悪意のあるコマンドの実行、または武器化されたファイルの実行を行います。 Metasploitについては、ハッカーはこのオープンソースのフレームワークを利用してターゲットの環境への初期アクセスを確保しています。一旦実行されると、マルウェアはシェルコードを復号化して実行し、ペイロードを実行するようになります。

Cubaは、検出を回避するために敵対者技術を利用しています。特に、 Bring Your Own Vulnerable Driver / BYOVD（Bring Your Own Driver）技術があります。また、 Zerologonの脆弱性 や、ISS GROUPによっても2023年春に悪用された CVE-2023-27532の欠陥を武器化することが観察されました。 Cubaランサムウェアグループの敵対者ツールキットには、ビルドインユーティリティのセットも含まれています、例えば、

は発見に使用され、 は発見に使用され、 は被害環境内を横に移動するために使用されます。一方、 は被害環境内を横に移動するために使用されます。一方、 は特権エスカレーションとC2コミュニケーションに活用されています。 は特権エスカレーションとC2コミュニケーションに活用されています。 サイバー防御者は信頼性のあるメールゲートウェイとデータバックアップソリューションを適用し、多要素認証を実装し、ソフトウェアを常に最新に保つことでCubaランサムウェアの脅威を適時に軽減するためのベストなパッチ管理の実践を推奨しています。

Cubaランサムウェア運営者がサイバー脅威のアリーナで活動を復活させる中、進歩的な組織はランサムウェア攻撃を積極的に検出し、サイバー耐性を将来性あるものにしようと努力しています。

2023年には、多くの業界セクターを標的にした一連の洗練された侵入の背後にいることが観察されました。BlackBerryチームは最近、Cubaの管理者による6月のキャンペーンをカバーする 2023年には、多くの業界セクターを標的にした一連の洗練された侵入の背後にいることが観察されました。BlackBerryチームは最近、Cubaの管理者による6月のキャンペーンをカバーする を活用してIOCのマッチングを簡素化し、検出コードの質を向上させ、ベンダーロックインを避けつつ44のSIEM、EDR、およびXDR言語形式で即座にSigmaルールを翻訳します。