Драйверы NVIDIA и новый RAT-инструмент способствуют незаметной кражи учетных данных.
Согласно отчету исследователей из Palo Alto Networks Unit 42 , названный ими злоумышленник «Tropical Scorpius» предположительно является участником группы вымогателей Cuba и использует ранее неизвестные техники, тактики и процедуры (TTPs), в том числе новый троян удаленного доступа (RAT) и новый инструмент повышения привилегий.
Программа-вымогатель Cuba была запущена в 2019 году и обновилась в первом квартале 2022 года, получив, помимо прочего, обновленный шифровальщик с более тонкими параметрами. Киберпреступник Tropical Scorpius использует стандартную полезную нагрузку программы-вымогателя Cuba, которая практически не изменилась с момента запуска кампании в 2019 году.
Один из новых методов с июня 2022 года — использование законного, но недействительного сертификата NVIDIA для подписи драйвера ядра, удаленного на начальных этапах заражения. Сертификаты были украдены группой LAPSUS в марте 2022 года . Задача драйвера — обнаруживать процессы системы безопасности и завершать их, чтобы хакер мог избежать обнаружения в скомпрометированной среде.
Затем Tropical Scorpius использовал инструмент локального повышения привилегий, который содержит эксплойт для уязвимости повышения привилегий в Windows CVE-2022-24521 .
На следующем этапе Tropical Scorpius загрузил ADFind и NetScan для выполнения бокового перемещения. Также субъект угрозы развернул новый инструмент, который может получить кэшированные учетные данные Kerberos.
Также киберпреступник может использовать хакерский инструмент ZeroLogon, который эксплуатирует ошибку CVE-2020-1472 для получения привилегий администратора домена.
Эксперты обнаружили, что Tropical Scorpius развертывает «ROMCOM RAT», ранее неизвестное вредоносное ПО, которое обрабатывает связь с C&C-сервером через ICMP-запросы, выполняемые через функции Windows API.
ROMCOM RAT поддерживает 10 команд:
Появление Tropical Scorpius и его новых TTPs указывает на то, что программа-вымогатель Cuba превращается в более опасную угрозу. Точное количество жертв на данный момент не известно, но Cuba публиковала украденные файлы 4 жертв с июня 2022 года на своем onion-сайте. Учитывая время для переговоров, исследователи ожидают увидеть результаты кампаний во второй половине 2022 года.
5778 К? Пф! У нас градус знаний зашкаливает!