Les pirates derrière Cuba ransomware ciblent désormais les utilisateurs crédules en utilisant de nouvelles tactiques, techniques et procédures (TTP). Ils utilisent maintenant le nouveau RAT (cheval de Troie d’accès à distance) et un nouvel outil local d’escalade de privilèges pour attaquer les cibles.
Les experts de l’unité 42 de Palo Alto Networks ont nommé le pirate “Tropical Scorpius”, qui est probablement un partenaire de l’opération Cuba ransomware.
Au premier trimestre 2022, Cuba ransomware a été mis à jour avec des options plus nuancées et a ajouté quTox pour l’assistance aux victimes en direct. Néanmoins, Tropical Scorpius s’appuie désormais sur de nouvelles méthodes, rendant le fonctionnement dudit malware potentiellement plus perfide et malveillant.
TTP du Scorpius tropical
Dans la nouvelle opération, la charge utile Cuba ransomware standard est utilisée par le cyber-escroc qui est restée inchangée depuis le lancement du processus en 2019.
Une autre tactique utilisée depuis juin 2022 consiste à utiliser un certificat NVIDIA authentique mais annulé. LAPSUS a volé et divulgué le certificat pour signer un pilote du noyau abandonné aux premiers stades d’une infection.
La tâche du conducteur est de trouver les processus liés aux produits de sécurité et de les éliminer pour aider les cybercriminels à éviter d’être détectés dans l’atmosphère compromise.
Par la suite, l’auteur de la menace obtient un outil d’escalade de privilèges local qui est considéré comme un exploit pour CVE-2022-24521. Il s’agit d’une vulnérabilité dans le pilote Windows Common Log File System, en avril 2022, qui a été corrigée comme un jour zéro.
L’unité 42 a rapporté que les criminels ont mis en place un service de stratégie d’exploitation qui semble être inspiré par un article approfondi du chercheur en sécurité Sergey Kornienko.
Puis après, ADFind et Net Scan sont téléchargés par Tropical Scorpius pour effectuer le mouvement imaginatif. Pour cela également, le pirate installe un nouvel outil qui peut récupérer les informations d’identification Kerberos mises en cache.
Les chercheurs de l’unité 42 ont découvert une autre nouvelle tactique utilisée, à savoir l’utilisation d’un outil de piratage ZeroLogon qui exploite CVE-2020-1472 pour acquérir les privilèges DA (administrateur de domaine).
À la fin, l’acteur de la menace insère “ROMCOM RAT”, un logiciel malveillant jamais vu auparavant qui utilise des requêtes ICMP effectuées via les fonctions de l’API Windows pour gérer les communications C2.
ROMCOM RAT prend en charge dix commandes répertoriées ci-dessous :
- Supprimer un répertoire particulier
- Supprimer un fichier particulier
- Téléchargez les données et écrivez dans worker.txt dans le dossier %ProgramData%
- Parcourez les processus en cours d’exécution et collectez les ID de processus
- Renvoyer les informations du lecteur connecté
- Renvoyer les listes de fichiers pour un répertoire particulier
- Générer un processus avec PID Spoofing
- Démarrez un reverse shell sous le nom svchelper.exe dans le dossier %ProgramData%
- Géré uniquement par ServiceMain, reçu du serveur C2 et ordonne au processus de dormir pendant 120 000 ms
- Télécharger des données sur C2 sous forme de fichier ZIP, en utilisant IShellDispatch pour copier les fichiers
Tropical Scorpius a compilé une nouvelle version de ROMCOM RAT remarquée par l’Unité 42, qu’elle télécharge pour tester sur VirusTotal le 20 juin 2022, qui a identifié la même adresse C2 (codée en dur).
Dix nouvelles commandes ont été ajoutées à la deuxième version en plus des 10 existantes, après quoi elle peut être utilisée à distance de manière plus avancée, possède également des options de téléchargement de fichiers et d’élimination de processus.