Microsoft Exchange Server Diretas untuk Menyebarkan Ransomware Kuba

Internet Sehat : Operasi ransomware Kuba mengeksploitasi kerentanan Microsoft Exchange untuk mendapatkan akses awal ke jaringan perusahaan dan mengenkripsi perangkat. Perusahaan keamanan siber Mandiant melacak geng ransomware tersebut sebagai UNC2596 dan ransomware itu sendiri sebagai COLDDRAW. Namun, ransomware ini lebih dikenal sebagai Kuba.

Kuba adalah operasi ransomware yang diluncurkan pada akhir 2019 dan meskipun mulai lambat, kecepatannya mulai meningkat pada 2020 dan 2021. Peningkatan aktivitas ini menyebabkan FBI mengeluarkan peringatan ransomware Kuba pada Desember 2021 yang memperingatkan bahwa geng ransomware ini melanggar 49 organisasi infrastruktur penting di AS.

Dalam sebuah laporan baru oleh Mandiant, para peneliti menunjukkan bahwa operasi Kuba terutama menargetkan Amerika Serikat diikuti oleh Kanada. Geng ransomware Kuba terlihat memanfaatkan kerentanan Microsoft Exchange untuk menyebarkan cangkang web, RAT, dan pintu belakang untuk membangun pijakan mereka di jaringan target sejak Agustus 2021. Mandiant juga telah mengidentifikasi eksploitasi kerentanan Microsoft Exchange, termasuk ProxyShell dan ProxyLogon, sebagai titik akses lain yang dimanfaatkan oleh UNC2596 kemungkinan pada awal Agustus 2021.

Pintu belakang yang ditanam termasuk Cobalt Strike atau alat akses jarak jauh NetSupport Manager, tetapi grup juga menggunakan alat Bughatch, Wedgecut, dan eck.exe, serta Burntcigar mereka sendiri. Wedgecut hadir dalam bentuk executable bernama check.exe yang merupakan alat pengintai yang menghitung Active Directory melalui PowerShell.

Bughatch adalah pengunduh yang mengambil skrip dan file PowerShell dari server C&C. Untuk menghindari deteksi, Bughatch dimuat di memori dari URL jarak jauh. Burntcigar adalah utilitas yang dapat menghentikan proses di tingkat kernel dengan mengeksploitasi kelemahan pada driver Avast yang disertakan dengan alat untuk serangan.

Terakhir, ada penetes khusus memori yang mengambil muatan di atas dan memuatnya, yang disebut Termite. Namun, alat ini telah diamati dalam kampanye berbagai kelompok ancaman sehingga tidak digunakan secara eksklusif oleh aktor ancaman Kuba.

Pelaku ancaman meningkatkan hak istimewa menggunakan kredensial akun curian yang bersumber melalui alat Mimikatz dan Wicker yang tersedia. Kemudian mereka melakukan pengintaian jaringan dengan Wedgecut, dan selanjutnya, mereka bergerak secara lateral dengan RDP, SMB, PsExec, dan Cobalt Strike.

Operasi Kuba kemungkinan akan mengalihkan perhatiannya ke kerentanan lain setelah tidak ada lagi target berharga yang menjalankan server Microsoft Exchange yang belum ditambal. Hal ini berarti bahwa menerapkan pembaruan keamanan yang tersedia segera setelah vendor perangkat lunak merilisnya adalah kunci dalam mempertahankan sikap keamanan yang kuat bahkan terhadap pelaku ancaman yang paling canggih sekalipun.

Sumber : Bleeping Computer

Share