Авторы шифровальщика Cuba добавили в арсенал бэкдор и обход антивирусов

Авторы шифровальщика Cuba добавили в арсенал бэкдор и обход антивирусов

Авторы шифровальщика Cuba добавили в арсенал бэкдор и обход антивирусов

Проведенный в «Лаборатории Касперского» разбор атаки шифровальщика Cuba показал, что в распоряжении кибергруппы появились новые инструменты для сокрытия вредоносной активности.

В частности, в зараженной системе компании-жертвы были обнаружены три подозрительных файла, запускающие последовательность действий, которые привели к загрузке вредоносной библиотеки komar65, также известной как Bughatch.

Зловред представляет собой бэкдор, который разворачивается в памяти процесса и выполняет встроенный шелл-код в выделенном ему пространстве, используя API Windows. После этого он подключается к C2-серверу и ждет дальнейших инструкций.

 

По команде Bughatch может загрузить маячок Cobalt Strike, Metasploit или дополнительный модуль, расширяющий его функциональность, — например, для сбора и вывода информации с зараженной системы.

Прикрытие бэкдору в ходе атаки обеспечил известный вредонос Burntcigar — по всей видимости, новая версия, так как на момент инцидента защитные решения его не детектировали. Зловред умеет прибивать процессы антивирусов и EDR; их имена, против обыкновения, были зашифрованы.

«Наши исследования демонстрируют важность наличия доступа к аналитическим отчётам об актуальных киберугрозах у ИБ-специалистов компаний, — отметил эксперт Kaspersky Глеб Иванов. — Группы вымогателей, такие как Cuba, всё время развиваются и совершенствуют свои тактики, поэтому крайне важно быть на шаг впереди для эффективного противодействия потенциальным атакам. В условиях постоянно меняющегося ландшафта угроз осведомлённость о возможных рисках — одна из важных составляющих защиты от последствий киберинцидентов».

Группировка Cuba, по словам аналитиков, использует схему двойного вымогательства, а также сложные тактики и методы проникновения в сети, в том числе BYOVD (Bring Your Own Vulnerable Driver) и краденые учетки RDP. Используемые инструменты разнообразны и постоянно совершенствуются; чтобы ввести исследователей в заблуждение, злоумышленники фальсифицируют временные метки компиляции.

Шифровальщик Cuba, доступный в даркнете как услуга (Ransomware-as-a-Service, RaaS), использует техники однофайлового развёртывания (без загрузки вредоносной библиотеки), что сильно затрудняет анализ. Шифрование данных осуществляется по а алгоритму Xsalsa20, для защиты ключей используется RSA-2048.

Выбор целей не зависит от профиля организаций. Среди жертв числятся торговые, логистические, финансовые, государственные учреждения, а также промышленные предприятия. На настоящий момент заражения зафиксированы в Северной Америке, Европе, Азии и Океании.

Патч для Windows Defender может забить ваш диск до краёв

Microsoft выпустила патч для 0-day уязвимости RoguePlanet, она же CVE-2026-50656, в движке безопасности встроенного антивируса Defender. Но история, похоже, не закончилась: исследователь NightmareEclipse, который ранее раскрыл баг, утверждает, что новый патч может привести к забиванию диска огромными файлами.

RoguePlanet стала известна в июне, когда NightmareEclipse опубликовал детали уязвимости и эксплойт.

По его словам, баг позволял удалённому атакующему получить административный контроль над Windows 10 и Windows 11 даже при отключённой защите в реальном времени.

В среду Microsoft сообщила, что закрыла проблему обновлением Microsoft Malware Protection Engine — компонента, который использует Defender. Обновление должно установиться автоматически, без действий пользователя. Вместе с ним компания добавила дополнительные защитные меры.

И вот тут, по версии исследователя, началось веселье. NightmareEclipse заявил, что патчи могут вызывать поведение, при котором Defender записывает на диск огромные объёмы данных и в итоге съедает всё свободное место. Проблема якобы связана с mpengine.dll и функциями SpyNet, которые пытаются локально кешировать файл Zone.Identifier — служебные метаданные Windows о происхождении файла.

Обычно Defender ограничивает размер файлов, которые записывает при проверке и карантине. Но, как утверждает исследователь, для Zone.Identifier есть исключение: Defender может сохранять этот поток данных локально независимо от его размера.

По словам NightmareEclipse, атаку можно организовать через специально подготовленный SMB-сервер. Он должен отдавать вредоносный файл и огромный альтернативный поток данных Zone.Identifier, а затем удерживать соединение. В результате Defender может зависнуть на обработке и держать файлы, занимающие всё свободное место на диске.

Компьютер от этого не обязательно упадёт сразу, но Windows с полностью забитым диском начинает вести себя как уставший сервер: приложения и службы могут сбоить хаотично.

Microsoft на момент публикации не подтвердила описанное поведение. При этом конфликт между компанией и NightmareEclipse тянется уже несколько месяцев: исследователь обвинял Microsoft в отсутствии поощрения за найденные дыры, а корпорация критиковала его за раскрытие уязвимостей до исправлений.

RSS: Новости на портале Anti-Malware.ru