Detect Cuba Ransomware Threat Group Infections: New Tooling Applied in Attacks Against Critical Infrastructure Organizations in the U.S.
목차:
2019년부터 활동해 온, Cuba 랜섬웨어 운영자들은 공격 방법을 지속적으로 발전시키고 멈추지 않을 것 같습니다. 가장 최근 미국과 라틴 아메리카의 조직에 대한 악성 작전은 새로운 도구와 오래된 도구의 조합에 의존합니다. 특히, Cuba 운영자들은 Veeam 익스플로잇(CVE-2023-27532)을 공격 도구 세트에 추가하여 대상 사용자의 민감한 데이터를 획득합니다.CVE-2023-27532)를 공격 도구에 추가하여 대상 사용자로부터 민감한 정보를 얻습니다.
Cuba 랜섬웨어 그룹 공격 탐지
랜섬웨어 환경에 더욱 정교한 TTP가 추가됨에 따라, 사이버 보안 전문가들은 적들을 앞서고 가능성 있는 침입을 가장 초기 단계에서 탐지하기 위해 노력하고 있습니다. SOC Prime Platform for collective cyber defense는 Cuba 랜섬웨어의 지속적으로 변화하는 공격 체인을 선제적으로 탐지하기 위한 관련 Sigma 규칙 세트를 큐레이션 합니다. 모든 탐지 알고리즘은 주요 SIEM, EDR, XDR, 및 Data Lake 형식과 호환되며, MITRE ATT&CK v12.
을 참조할 수 있습니다. 탐지 보기 버튼을 클릭하여 ATT&CK 참조 및 CTI 링크가 포함된 맥락 메타데이터로 풍부한 탐지 스택 전체를 확보하십시오.
Cuba 랜섬웨어 공격 분석
Cuba 랜섬웨어 운영자들은 4년 넘게 악성 작전을 수행해 왔으며, 방어자들에게 강력한 적수로 자리 잡았습니다. 2021년, 해커들은 SystemBC 멀웨어를 다른 악명 높은 RaaS 동맹, DarkSide와 Ryuk 등과 함께 배포하였습니다. 2022년, 이 그룹은 새로운 TTP와 더욱 정교한 적 대적 도구를 활용하여 부활하였으며, ROMCOM RAT 및 악명 높은 ZeroLogon 결함(CVE-2020-1472)을 악용하였습니다. 2022년 10월, Tropical Scorpius로도 추적되는 해킹 집단은 유인 첨부 파일을 활용해 우크라이나 국가 기관에 대한 대규모 피싱 캠페인과 연결되었으며, ROMCOM 백도어를 확산했습니다. SystemBC 멀웨어와 다른 악명 높은 RaaS 동맹을 포함한 DarkSide and Ryuk를 배포했습니다. 2022년, 이 그룹은 부활하여 새로운 TTP와 더 정교한 적 대적 도구인 ROMCOM RAT을 활용하고 악명 높은 ZeroLogon 결함, CVE-2020-1472를 악용했습니다. CVE-2020-1472를 활용했습니다. 2022년 10월, Tropical Scorpius로 추적된 이 해킹 집단은 우크라이나 국가 기관에 대한 대규모 피싱 캠페인을 유인 첨부 파일과 함께 연결하여 ROMCOM 백도어를 퍼뜨렸습니다. ROMCOM 백도어.
Cuba 랜섬웨어 운영자들은 러시아 공격 세력과 연관된 것으로 알려져 있으며, 다양한 멀웨어 샘플과 공격 도구를 자주 실험합니다. 코드 분석은 이 그룹의 러시아 출신 이론을 지지했습니다.
2023년, 적들은 여러 산업 분야의 회사들을 목표로 한 일련의 정교한 침투 뒤에 있는 것이 관찰되었습니다. BlackBerry 팀이 최근 조사 발표를 내놓았으며 Cuba 운영자들이 미국과 라틴 아메리카의 조직을 목표로 하는 6월의 캠페인을 다루었습니다. 해커들은 이전의 적 대적 캠페인에서 성공을 입증한 도구들을 활용하며 새로운 공격 능력도 활용합니다. 최근 공격에서 Cuba 위협 그룹은 Veeam 백업 & 복구 구성 요소 내 결함인 CVE-2023-27532를 악용하려 합니다. 성공적인 악용 시도는 공격자들이 백업 인프라 호스트에 접근할 수 있게 만듭니다.
BlackBerry 연구원들의 이러한 그룹의 최신 사이버 공격에 대한 조사는 적의 BUGHATCH와 BURNTCIGAR 및 Metasploit, Cobalt Strike 프레임워크와 함께 여러 LOLBINS을 사용하는 것을 밝혀냈습니다. Metasploit, 그리고 Cobalt Strike 프레임워크와 여러 LOLBINS 을 사용하고, PoC 익스플로잇 코드의 일부 샘플은 공개적으로 이용 가능합니다.
다수의 랜섬웨어 운영자들과 마찬가지로, Cuba는 이중 협박을 적용하여, 적들이 피해 사용자의 민감한 데이터를 탈취하고, 이를 암호화하면서 희생자들에게 몸값을 지불하도록 강요합니다. 2023년 가을, CISA와 FBI는 증가하는 Cuba 그룹의 적 대적 활동과 관련된 위협에 대해 방어자들을 경고하고 조직들이 사이버 보안 태세를 강화하도록 돕는 목적의 공동 사이버 보안 공지를 발표했습니다. 공동 사이버 보안 공지 를 발표하였습니다.
Cuba는 사이버 위협 분야에서 전체 활동 동안 유사한 TTP를 적용하고 있으며 2023년에는 이를 약간 업데이트했습니다. 미국 조직을 목표로 한 가장 최근의 공격 중 하나에서, 적들은 자격 증명 재사용 기술을 적용했습니다. 그들은 이전에 보안 취약점이나 초기 접근 브로커(IAB)를 활용하여 타겟 시스템에 대한 접근을 유지하는 데 성공했습니다.
일반적으로 공격 초기 단계에서 Cuba는 BUGHATCH 다운로드 도구를 활용하여 C2와의 연결을 설정하고 페이로드를 떨어뜨리거나 악성 명령을 실행하거나 무기화된 파일을 실행합니다. Metasploit의 경우, 해커들은 이 오픈 소스 프레임워크를 활용하여 타겟 환경에 초기 접근을 얻습니다. 실행되면, 멀웨어는 페이로드를 실행하도록 이끄는 셸 코드를 해독하고 실행합니다. MetasploitMetasploit
Cuba는 탐지를 피하기 위한 적 대적 기술을 활용하며, 특히 BYOVD(자신의 취약 드라이버 사용) 기술을 사용합니다. 해커들 또한 유명한 ZeroLogon 취약점 및 CVE-2023-27532 결함을 무기화하는 것으로 관찰되었으며, 후자는 2023년 봄에 Fin7 그룹에 의해 또 다른 악용이 이루어졌습니다. BYOVD(자신의 취약 드라이버 사용) / BYOVD(자신의 드라이버 사용) 기술을 사용합니다. 해커들은 또한 악명 높은 ZeroLogon 취약점 과 CVE-2023-27532 결함을 무기화하였으며, 후자는 Fin7 그룹 에 의해 2023년 봄에 악용되었습니다.
Cuba 랜섬웨어 그룹의 적 대적 도구에는 ping.exe 가 포함되어 있으며, 탐색 목적으로 사용되고 cmd.exe 는 감염된 환경 내에서 측면 이동을 위해 사용됩니다. 그리고 Cobalt Strike 비콘 은 권한 상승 및 C2 통신을 위해 활용되었습니다.
사이버 방어자들은 신뢰할 수 있는 이메일 게이트웨이 및 데이터 백업 솔루션을 적용하고, 다중 인증을 구현하며 소프트웨어를 항상 최신 상태로 유지하는 최고 수준의 패치 관리 관행을 통해 Cuba 랜섬웨어 위협에 신속하게 대응하는 것을 권장합니다.
Cuba 랜섬웨어 운영자들이 사이버 위협 분야에서 활동을 재개함에 따라, 진보적 조직들은 랜섬웨어 공격을 선제적으로 탐지하고 사이버 회복성을 미래지향적으로 강화하려고 노력하고 있습니다. Uncoder AI 를 활용하여 IOC 매칭을 간소화하고, 탐지 코드의 품질을 개선하며 Sigma 규칙을 44개의 SIEM, EDR, XDR 언어 형식으로 즉각 번역하여 공급업체 잠금을 피하십시오.