Компания Secureworks приписывает эти атаки CobaltMirage.

None

Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии. Secureworks приписывает эти атаки Cobalt Mirage, связанной с иранской группировкой Cobalt Illusion (она же APT35 , Charming Kitten , Newscaster или Phosphorus ).

"Атаки Cobalt Mirage ранее использовались группировками Phosphorus и TunnelVision", – говорится в отчете группы противодействия угрозам Secureworks (CTU), предоставленном изданию The Hacker News.

По словам специалистов, Cobalt Mirage создала два набора атак для вторжения в системы, сильно отличающихся друг от друга. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты – BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак более целенаправленный и используется с для получения доступа к разведывательным данным определенного ряда организаций.

Получение первоначальных путей доступа сильно облегчалось за счет сканирования выходящих в Интернет серверов, уязвимых к широко известным уязвимостям сброса веб-оболочек и использования их в качестве канала для бокового движения и активации вымогательского ПО внутри систем устройств Fortinet и серверов Microsoft Exchange. Тем не менее, точные средства запуска функции полного шифрования остаются неизвестными, сообщает Secureworks, подробно описывая январскую атаку 2022 года на неназванную благотворительную организацию США.

Во время еще одной атаки, направленной на сеть местных органов самоуправления США в середине марта 2022 года, предположительно использовались уязвимости Log4Shell в инфраструктуре VMware Horizon для проведения разведки и сканирования сети.

"Январский и мартовский инциденты демонстрируют различные стили атак, проводимых Cobalt Mirage", – заключили исследователи. "Хотя хакеры, по-видимому, добились значительных успехов в получении первоначального доступа к широкому кругу целей, их способность использовать этот доступ для получения финансовой выгоды или сбора разведданных представляется ограниченной".

Мы писали про эксплуатацию иранскими хакерами уязвимости Log4Shell в серверах VMware Horizon. Группировка TunnelVision эксплуатирует уязвимость для запуска PowerShell-команд, установки бэкдоров, хищения учетных данных и пр.

Источник: securitylab