Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Регистрируйтесь на онлайн-конференцию!

Иранские хакеры используют BitLocker и DiskCryptor в вымогательских атаках

15/05/22

irahack3-May-15-2022-01-39-40-64-PMИранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии. Secureworks приписывает эти атаки Cobalt Mirage, связанной с иранской группировкой Cobalt Illusion (она же APT35 , Charming Kitten , Newscaster или Phosphorus ).

"Атаки Cobalt Mirage ранее использовались группировками Phosphorus и TunnelVision", – говорится в отчете группы противодействия угрозам Secureworks (CTU), предоставленном изданию The Hacker News.

По словам специалистов, Cobalt Mirage создала два совершенно разных набора атак для вторжения в системы. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты – BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак используется для похищения конфиденциальных данных ряда израильских, американских, европейских и австралийских организаций.

Первоначальный доступ облегчило сканирование серверов с доступом в интернет. Они использовались как канал для бокового движения и активации вымогательского ПО внутри систем устройств Fortinet и серверов Microsoft Exchange. Средства запуска полного шифрования остаются неизвестными – об этом сообщили Secureworks в описании январской атаки 2022 года на благотворительную организацию из США.

Во время еще одной атаки, направленной на сеть местных органов самоуправления США в середине марта 2022 года, предположительно использовались уязвимости Log4Shell в инфраструктуре VMware Horizon для проведения разведки и сканирования сети.

"Январский и мартовский инциденты демонстрируют различные стили атак, проводимых Cobalt Mirage", – заключили исследователи. "Хотя хакеры, по-видимому, добились значительных успехов в получении первоначального доступа к широкому кругу целей, их способность использовать этот доступ для получения финансовой выгоды или сбора разведданных представляется ограниченной".

Мы писали про эксплуатацию иранскими хакерами уязвимости Log4Shell в серверах VMware Horizon. Группировка TunnelVision эксплуатирует уязвимость для запуска PowerShell-команд, установки бэкдоров, хищения учетных данных и пр.

Темы:APT-группыИранВымогатели
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...