Иранские хакеры используют BitLocker и DiskCryptor в вымогательских атаках

Phosphorus APT35 Charming Kitten TunnelVision BitLocker Cobalt Illusion CobaltMirage
Компания Secureworks приписывает эти атаки CobaltMirage.

Иранские хакеры используют BitLocker и DiskCryptor в вымогательских атаках

Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии. Secureworks приписывает эти атаки Cobalt Mirage, связанной с иранской группировкой Cobalt Illusion (она же APT35 , Charming Kitten , Newscaster или Phosphorus ).
«Атаки Cobalt Mirage ранее использовались группировками Phosphorus и TunnelVision», – говорится в отчете группы противодействия угрозам Secureworks (CTU), предоставленном изданию The Hacker News.
По словам специалистов, Cobalt Mirage создала два совершенно разных набора атак для вторжения в системы. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты – BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак используется для похищения конфиденциальных данных ряда израильских, американских, европейских и австралийских организаций.
Первоначальный доступ облегчило сканирование серверов с доступом в интернет. Они использовались как канал для бокового движения и активации вымогательского ПО внутри систем устройств Fortinet и серверов Microsoft Exchange. Средства запуска полного шифрования остаются неизвестными – об этом сообщили Secureworks в описании январской атаки 2022 года на благотворительную организацию из США.
Во время еще одной атаки, направленной на сеть местных органов самоуправления США в середине марта 2022 года, предположительно использовались уязвимости Log4Shell в инфраструктуре VMware Horizon для проведения разведки и сканирования сети.
«Январский и мартовский инциденты демонстрируют различные стили атак, проводимых Cobalt Mirage», – заключили исследователи. «Хотя хакеры, по-видимому, добились значительных успехов в получении первоначального доступа к широкому кругу целей, их способность использовать этот доступ для получения финансовой выгоды или сбора разведданных представляется ограниченной».
Мы писали про эксплуатацию иранскими хакерами уязвимости Log4Shell в серверах VMware Horizon. Группировка TunnelVision эксплуатирует уязвимость для запуска PowerShell-команд, установки бэкдоров, хищения учетных данных и пр.

SECURITYLAB.RU

Источник