Иранские хакеры используют BitLocker и DiskCryptor в вымогательских атаках
15/05/22
Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии. Secureworks приписывает эти атаки Cobalt Mirage, связанной с иранской группировкой Cobalt Illusion (она же APT35 , Charming Kitten , Newscaster или Phosphorus ).
"Атаки Cobalt Mirage ранее использовались группировками Phosphorus и TunnelVision", – говорится в отчете группы противодействия угрозам Secureworks (CTU), предоставленном изданию The Hacker News.
По словам специалистов, Cobalt Mirage создала два совершенно разных набора атак для вторжения в системы. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты – BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак используется для похищения конфиденциальных данных ряда израильских, американских, европейских и австралийских организаций.
Первоначальный доступ облегчило сканирование серверов с доступом в интернет. Они использовались как канал для бокового движения и активации вымогательского ПО внутри систем устройств Fortinet и серверов Microsoft Exchange. Средства запуска полного шифрования остаются неизвестными – об этом сообщили Secureworks в описании январской атаки 2022 года на благотворительную организацию из США.
Во время еще одной атаки, направленной на сеть местных органов самоуправления США в середине марта 2022 года, предположительно использовались уязвимости Log4Shell в инфраструктуре VMware Horizon для проведения разведки и сканирования сети.
"Январский и мартовский инциденты демонстрируют различные стили атак, проводимых Cobalt Mirage", – заключили исследователи. "Хотя хакеры, по-видимому, добились значительных успехов в получении первоначального доступа к широкому кругу целей, их способность использовать этот доступ для получения финансовой выгоды или сбора разведданных представляется ограниченной".
Мы писали про эксплуатацию иранскими хакерами уязвимости Log4Shell в серверах VMware Horizon. Группировка TunnelVision эксплуатирует уязвимость для запуска PowerShell-команд, установки бэкдоров, хищения учетных данных и пр.