12/09/22
Согласно заявлению Microsoft, DEV-0270 – часть крупной группировки Phosphorus (или Nemesis Kitten), использующая эксплоиты опасных уязвимостей для получения доступа к устройствам жертв.
Кроме того, злоумышленники часто используют LolBins – компоненты операционной системы, наиболее часто используемые злоумышленниками в атаках.
Особенно популярными у хакеров стали встроенная программа BitLocker (используется для шифрования файлов на взломанных устройствах) и бесплатное ПО DiskCryptor. Об этом сообщила компания Secureworks, которая занималась анализом атак группировки Cobalt Mirage, связанной с Phosphorus (она же Cobalt Illusion) и TunnelVision.
Сейчас исследователям известно, что DEV-0270 сканирует интернет в поисках серверов и устройств, которые подвержены уязвимостям в Microsoft Exchange Server, Fortinet FortiGate SSL-VPN и Apache Log4j, получает первоначальный доступ, проводит разведку и крадет учетные данные жертв. В системах жертв хакеры закрепляются с помощью запланированных задач, после чего повышают свои привилегии, чтобы отключать системы защиты и избегать обнаружения, передает Securitylab.
Эксперты рекомендуют пользователям установить последние версии обновлений для Exchange, ограничивать подключение серверов к интернету, использовать надежные пароли и регулярно проводить резервное копирование.
