节奏的变化UNC2596 观察到利用漏洞部署古巴勒索软件

asmani000

Mandiant 观察到一些部署勒索软件的威胁行为者越来越多地转向利用漏洞作为初始感染媒介。UNC2596 是一个部署 COLDDRAW 勒索软件（公众称为古巴勒索软件）的威胁行为者，就是这一趋势的例证。虽然公开报告强调 CHANITOR 活动是这些勒索软件事件的先兆，但 Mandiant 还发现，利用 Microsoft Exchange 漏洞（包括ProxyShell和ProxyLogon）作为 UNC2596 最早可能于 2021 年 8 月利用的另一个接入点。本博客的内容重点关注UNC2596 活动导致了 COLDDRAW 勒索软件的部署。


UNC2596 是目前 Mandiant 追 B2B 电子邮件列表 踪的唯一使用 COLDDRAW 勒索软件的威胁行为者，这可能表明该勒索软件是该组织专门使用的。在入侵期间，这些威胁参与者使用 Webshel​​l 加载 TERMITE 内存中的植入程序，并进行涉及多个后门和内置 Windows 实用程序的后续活动。除了 Cobalt Strike BEACON 和 NetSupport 等常见工具之外，UNC2596 还使用了新颖的恶意软件，包括用于禁用端点保护的 BURNTCIGAR、用于枚举活动主机的 WEDGECUT 以及 BUGHATCH 自定义下载程序。在部署 COLDDRAW 的事件中，UNC2596 除了使用 COLDDRAW 勒索软件进行加密外，还使用了多方面的勒索模型，在该组织的羞辱网站上窃取和泄露数据。COLDRAW 操作影响了十多个国家的数十个组织，

受害者学
COLDDRAW 勒索软件攻击背后的威胁参与者并没有回避敏感目标（图 1）。他们的受害者包括公用事业提供商、政府机构以及支持非营利组织和医疗保健实体的组织，但是，我们尚未观察到他们攻击提供紧急护理的医院或实体。大约 80% 受影响的受害者组织位于北美，但它们也影响了欧洲的多个国家以及其他地区（图 2）。



据称 COLDDRAW 受害者（按行业）
图 1：据称的 COLDDRAW 受害者（按行业）
按国家划分的据称 COLDDRAW 受害者
图 2：按国家划分的据称 COLDDRAW 受害者
羞辱网站
至少自 2021 年初以来，COLDDRAW 勒索软件受害者就遭到威胁行为者公开勒索，威胁要发布或出售被盗数据（图 3）。每个羞辱帖子都包含有关“收到文件的日期”的信息。虽然该羞辱网站直到 2021 年初才包含在勒索信息中，但该网站上的其中一个条目指出，这些文件是在 2019 年 11 月收到的。这与上传到公共恶意软件存储库的最早样本一致，可能代表该网站的最早使用勒索软件。值得注意的是，虽然与本网站列出的大多数受害者相关的数据是免费提供的，但有一个付费部分在发布时仅列出了一名受害者。