キューバ(COLDRAW)
はじめに
COLDRAWの名で知られるCubaランサムウェアは、2020年1月から活動しています。2021年11月初旬の時点で、キューバランサムウェアのアクターは、金融、政府、医療、製造、情報技術など5つの重要インフラセクターの49以上の事業体に攻撃しています。
Cuba ランサムウェアのアクティブな亜種には、復号化ツールが存在しません。
モダス・オペランディ
イニシャルアクセス
Cubaランサムウェアグループが使用する感染ベクトルは、スパムメールやMicrosoft Exchangeの脆弱性などです。スパムキャンペーンは、ターゲットを騙して、マクロを含んだMicrosoft Officeの添付ファイル内のマクロを有効にさせたり、Hancitor -トロイの木馬をダウンロードさせるような悪意のあるURLリンクをクリックさせたりすることを目的にしています。また、Cubaランサムウェアグループは、ターゲットへのイニシャルアクセスを得るための別の方法として、2021年8月以降、ProxyShellおよびProxyLogonを含むMicrosoft Exchangeの脆弱性を活用することが確認されています。
インストール
Hancitor -トロイの木馬がインストールされると、可能な限り多くのユーザーとシステム情報を収集してから、収集した情報に基づくクエリー文字列をハードコードされたコマンド&コントロール(C2)サーバーのリストに送信しようとし、そこで応答を待って、横方向の動きとデータ抽出を促進するためにコマンド&コントロールサーバーを介していくつかの追加ツールをダウンロードしようとするよう指示を出します。また、Cubaランサムウェアは、被害者のネットワークに足場を築くために、ウェブシェルを展開することも確認されています。
これまでのインシデントに基づき、Cubaランサムウェアのインシデントでは、有効なアカウントからの認証情報を使用して特権を昇格させています。Cubaランサムウェアグループは、MimikatzとWICKERを使用して、これらの権限昇格のための認証情報を盗んでいることが確認されています。また、このグループは、被害者のマシンで既存のWindowsアカウントを操作したり、独自のWindowsアカウントを作成した後、ファイルアクセス権を変更して、さらに特権を与えることが確認されています。
Cubaランサムウェアグループは、盗んだ認証情報を特権昇格のために使用するだけでなく、有効なアカウントのRDPを介して横移動するために使用します。その他の横移動の方法としては、最初のアクセス時にインストールされたCobaltStrike BEACONを使用したSMBやPsExecがあります。
暗号化
Cubaランサムウェアグループは、標的のサイバーセキュリティ対策が攻撃を阻害しないように、エンドポイントセキュリティソフトウェアに関連するプロセスを終了させ、ランサムウェアや他のツールが阻害されずに実行できるようにするバッチスクリプトを使用して、BURNTCIGARユーティリティを展開することが観察されています。また、このグループは、アンチウイルスなどのサイバーセキュリティ対策を回避するために、Cubaランサムウェアで流出した署名証明書を使用していることが確認されています。
Cubaランサムウェアグループは、ターゲットに対する攻撃を最終的に完了させるために、PowerShellスクリプトを実行して、Cubaランサムウェアのインストールとターゲットのファイルおよびシステムの暗号化のための次の段階のペイロードをロードします。ターゲットのマシンを暗号化する前に、Cuba ランサムウェアグループは、重要なファイルを盗み出そうと試みます。最後に、このグループは、各ドライブをネットワーク共有にマッピングするために使用されるバッチスクリプトを実行します。これらの新しく作成された共有は、その後、暗号化のために利用できるようになります。