雅加达 - 卡巴斯基的一项新研究发现,古巴勒索软件集团最近传播了可能避免高级别检测的恶意软件。
据报道,该集团的目标是世界各地的组织,从而在一些公司中留下印记,这些公司已在各个行业被破坏。
古巴勒索软件集团的参与实际上是在2022年12月发现的,卡巴斯基在客户系统中发现了可疑事件,揭示了三个可疑的文件,导致BUGHATCH。
BUGHATCH 是应用于流程内存的先进后门。它执行使用Windows API分配给它的内存区内嵌入的壳牌代码区块,其中包括各种功能。
接下来,连接到指令和控制(C2)服务器,等待进一步的指示。它可以接收下载Cobalt Strike Beacon和Metasploit等软件的命令。
卡巴斯基继续进行调查,在VirusTotal上发现了与古巴集团相关的新恶意软件样本。其中一些样本设法避免被其他安全提供商发现。
此样本代表了 BURNTCIGAR 恶意软件的新版本,该软件使用加密数据以避免抗病毒检测。
“我们的最新发现强调了访问最新报告和威胁情报的重要性。当像古巴这样的勒索软件团伙演变并完善了他们的策略时,保持领先地位对于有效地减轻潜在的攻击至关重要,“卡巴斯基网络安全专家格莱布·伊万诺夫(Gleb Ivanov)说。
古巴是一种单一文件勒索软件,由于其没有额外的图书馆的运行而难以检测。这个俄语集团以其广泛的覆盖范围而闻名,并针对北美、欧洲、大洋洲和亚洲的零售、金融、物流、政府和制造业等行业。
他们操作的独特特之处在于,它改变了编译时间的贴纸,以误导调查人员。古巴的独特方法不仅涉及数据加密,而且还调整攻击以提取敏感信息数据,如财务文件、银行记录、公司账户和源码。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
