Обходят антивирусы и используют бэкдор komar: «Лаборатория Касперского» рассказала о новой атаке кибергруппы Cuba

«Лаборатория Касперского» опубликовала результаты расследования нового киберинцидента с участием Cuba. Это группа вымогателей, которая атаковала многие компании по всему миру, в том числе торговые, логистические, финансовые, государственные учреждения и промышленные предприятия в Северной Америке, Европе, Океании и Азии.

«Комариный» бэкдор

На этот раз злоумышленникам удалось внедрить вредоносное ПО, которое долгое время оставалось незамеченным некоторыми системами расширенного обнаружения. В декабре 2022 года «Лаборатория Касперского» обнаружила три подозрительных файла в системе одной из заражённых компаний. Эти файлы запустили последовательность действий, которые привели к загрузке вредоносной библиотеки komar65, также известной как Bughatch. Bughatch представляет собой бэкдор, который разворачивается в памяти процесса и выполняет встроенный шелл-код в выделенном ему пространстве памяти, используя API Windows (VirtualAlloc, CreateThread, WaitForSingleObject), а затем подключается к командному серверу и ожидает дальнейших инструкций. Он может загружать такие программы, как Cobalt Strike Beacon и Metasploit. В ходе атаки используется инструмент Veeamp, что также указывает на причастность группы Cuba. При этом некоторые папки также содержат в названии русские слова, и это может быть ещё одним свидетельством того, что действует русскоговорящая группа.

Сайт группы Cuba для публикации данных жертв

Скрытая угроза

Эксперты «Лаборатории Касперского» выявили дополнительные модули, которые расширяют функциональность данного вредоносного ПО. Среди них есть, в частности, модуль, собирающий информацию с заражённой системы и отправляющий её на сервер в виде HTTP POST-запроса.

Кроме того, «Лаборатория Касперского» обнаружила на VirusTotal новые типы вредоносных программ, использование которых приписывается авторам Cuba. Некоторые из них не были обнаружены решениями других поставщиков. Это новые версии вредоносного ПО Burntcigar, использующие зашифрованные данные для обхода антивируса.

При этом, как правило, шифровальщик Cuba использует техники однофайлового развёртывания, которые позволяют действовать без загрузки вредоносной библиотеки, что значительно затрудняет обнаружение угрозы. Операторы Cuba используют и общедоступные, и самописные вредоносные инструменты, постоянно совершенствуют их, а также используют такие тактики, как BYOVD (Bring Your Own Vulnerable Driver). Это атака, при которой злоумышленники выполняют вредоносные действия в системе с помощью легитимных подписанных уязвимых драйверов.

«Наши исследования демонстрируют важность наличия доступа к аналитическим отчётам об актуальных киберугрозах у ИБ-специалистов компаний. Группы вымогателей, такие как Cuba, всё время развиваются и совершенствуют свои тактики, поэтому крайне важно быть на шаг впереди для эффективного противодействия потенциальным атакам. В «Лаборатории Касперского» команды Threat Intelligence и MDR тесно взаимодействуют друг с другом, постоянно обмениваясь данными и совершенствуя предоставляемые услуги. В условиях постоянно меняющегося ландшафта угроз осведомлённость о возможных рисках — одна из важных составляющих защиты от последствий киберинцидентов», — напоминает Глеб Иванов, эксперт «Лаборатории Касперского» по кибербезопасности.

Заметая следы

Отличительная черта группы Cuba — её участники подделывают временные метки компиляции, чтобы ввести исследователей в заблуждение. Например, временная метка образцов, найденных в 2020 году, была от 4 июня 2020 года, а более новые якобы скомпилированы 19 июня 1992 года. Уникальный подход вымогателей заключается в том, что они не только шифруют данные, но и кастомизируют атаки для кражи конфиденциальной информации, такой как финансовые документы, выписки из банков, счета компаний и исходный код. Особенно подвержены риску производители ПО.