Cuba Ransomware APT IOCs

security IOC

Компания Trend Micro отмечает возрождение активности вымогательского ПО Cuba в марте и апреле 2022 года. Она включала новый вариант, содержащий обновления бинарного файла - в частности, его загрузчика, - которые, как считается, повышают эффективность, минимизируют нежелательное поведение системы и даже предоставляют жертвам техническую поддержку в случае переговоров.


Cuba ransomware имеет обширную инфраструктуру и использует в своем арсенале множество инструментов. Среди них такие утилиты Windows, как Remote Desktop Protocol (RDP), Server Message Block (SMB) и PsExec, которые он комбинирует с такими популярными инструментами, как Cobalt Strike (для латерального перемещения и C&C коммуникаций) и Mimikatz (для сброса учетных данных).

Он также использует несколько уязвимостей в процессе заражения. Например, он использует уязвимости ProxyShell и ProxyLogon для первоначального доступа, а также использует уязвимость драйвера Avast (C:\windows\temp\aswArPot.sys) как часть процедуры отключения антивируса.

Обратите внимание, что, несмотря на свое название, Cuba ransomware, по-видимому, происходит из России, о чем свидетельствует ее процедура завершения работы при обнаружении в системе русской раскладки клавиатуры или языка.

Indicators of Compromise

IPv4

  • 185.153.199.164
  • 190.114.254.116
  • 23.227.197.229
  • 45.32.229.66

SHA1

  • 0a3ac9b182d8f14d9bc368d0c923270eed29b950
  • 0d0ac944b9c4589a998b5032d208a16e63db5817
  • 172f28f61a35716762169d63f207071adf21a54c
  • 209ffbc8ba1e93167bca9b67e0ad3561c065595d
  • 363dc3cf956ab2a7188cf0e44bffd9fba766097d
  • 39381976485fbe4719e4585f082a5252feedbcfd
  • 3ead9dd8c31d8cfb6cc53e96ec37bdcfdbbcce78
  • 49cfcecd50fcfcd3961b9d3f8fa896212b7a9527
  • 4f3a1e917f67293578b7e823bca35c4dff923386
  • 4f6ee84f59984ff11147bfff67ab6e40cd7c8525
  • 55b89bad1765bbf97158070fd5cbf9ea7d449e2a
  • 6da8a4a32a4410742f626376cbec38986d307d5a
  • 7c88207ff1afe8674ba32bc20b597d833d8b594a
  • 7ef1f5946b25f56a97e824602c58076e4b1c10b6
  • 8247880a1bad73caaeed25f670fc3dad1be0954a
  • 82f194e6baeef6eefb42f0685c49c1e6143ec850
  • 8fec34209f79debcd9c03e6a3015a8e3d26336bb
  • 922ca12c04b064b35fd01daadf5266b8a2764c32
  • a304497ff076348e098310f530779002a326c264
  • b73763c98523e544c0ce0da7db7142f1e039c0a2
  • d0bbbc1866062f9a772776be6b7ef135d6c5e002
  • d1ef60835127e35154a04d0c7f65beee6e790e44
  • d9030bdbd0cb451788eaa176a032aa83cf7604c0
  • e328b5e26a04a13e80e60b4a0405512c99ddb74e
  • e6ea0765b9a8cd255d587b92b2a80f96fab95f15
  • ee883ec4b7b7c1eba7200ee2f9f3678f67257217
  • f008e568c313b6f41406658a77313f89df07017e
  • f1be87ee03a2fb59d51cb4ba1fe2ece8ddfb5192
  • f347fa07f13c3809e4d2d390e1d16ff91f6dc959
  • fd4c478f1561db6a9a0d7753741486b9075986d0
SEC-1275-1
Добавить комментарий