Тропический скорпион из Кубы атакует неизвестными инструментами

Согласно отчету исследователей из Palo Alto Networks Unit 42 , названный ими злоумышленник «Tropical Scorpius» предположительно является участником группы вымогателей Cuba и использует ранее неизвестные техники, тактики и процедуры (TTP), в том числе новый троян удаленного доступа (RAT) и новый инструмент повышения привилегий.

Программа-вымогатель Cuba была запущена в 2019 году и обновилась в первом квартале 2022 года, получив, помимо прочего, обновленный шифровальщик с более тонкими параметрами. Киберпреступник Tropical Scorpius использует стандартную полезную нагрузку программы-вымогателя Cuba, которая практически не изменилась с момента запуска кампании в 2019 году.

Один из новых методов с июня 2022 года — использование законного, но недействительного сертификата NVIDIA для подписи драйвера ядра, удаленного на начальных этапах заражения. Сертификаты были украдены группой LAPSUS в марте 2022 года . Задача драйвера — обнаруживать процессы системы безопасности и завершать их, чтобы хакер мог избежать обнаружения в скомпрометированной среде.

Затем Tropical Scorpius использовал инструмент локального повышения привилегий, который содержит эксплойт для уязвимости повышения привилегий в Windows CVE-2022-24521 .

На следующем этапе Tropical Scorpius загрузил ADFind и NetScan для выполнения бокового перемещения. Также субъект угрозы развернул новый инструмент, который может получить кэшированные учетные данные Kerberos.

Также киберпреступник может использовать хакерский инструмент ZeroLogon, который эксплуатирует ошибку CVE-2020-1472 для получения привилегий администратора домена.

Эксперты обнаружили, что Tropical Scorpius развертывает «ROMCOM RAT», ранее неизвестное вредоносное ПО, которое обрабатывает связь с C2-сервером через ICMP-запросы, выполняемые через функции Windows API.

ROMCOM RAT поддерживает 10 команд:

• Вернуть информацию о подключенном диске;
• Вернуть списки файлов для указанного каталога;
• Запустить обратную оболочку под именем «svchelper.exe» в папке «%ProgramData%»;
• Загрузить данные в C2-сервер в виде ZIP-файла, используя IShellDispatch для копирования файлов;
• Скачать данные и записать в «worker.txt» в папке «%ProgramData%»;
• Удалить указанный файл;
• Удалить указанный каталог;
• Создать процесс с подменой идентификатора процесса (PID);
• Обработать только ServiceMain, полученным от C2-сервера и приостановить процесс в течение 120 000 мс;
• Итерировать запущенные процессы и собрать идентификаторы процессов.

Появление Tropical Scorpius и его новых TTP указывает на то, что программа-вымогатель Cuba превращается в более опасную угрозу. Точное количество жертв на данный момент не известно, но Cuba публиковала украденные файлы 4 жертв с июня 2022 года на своем onion-сайте. Учитывая время для переговоров, исследователи ожидают увидеть результаты кампаний во второй половине 2022 года.