Microsoft cảnh báo về các cuộc tấn công bằng Ransomware của Nhóm tin tặc Phốt pho Iran

Các cuộc tấn công ransomware

Bộ phận tình báo về mối đe dọa của hôm thứ Tư đã đánh giá rằng một nhóm phụ của tác nhân đe dọa Iran được theo dõi là Phosphorus đang tiến hành các cuộc tấn công như một “hình thức trăng hoa” vì lợi ích cá nhân.

Gã khổng lồ công nghệ, đang theo dõi cụm hoạt động dưới biệt danh DEV-0270 (hay còn gọi là Nemesis Kitten), cho biết nó được điều hành bởi một công ty hoạt động dưới bí danh công khai là Secnerd và Lifeweb, với lý do cơ sở hạ tầng chồng chéo giữa nhóm và hai tổ chức.

“DEV-0270 tận dụng việc khai thác các lỗ hổng có mức độ nghiêm trọng cao để truy cập vào các thiết bị và được biết đến với việc áp dụng sớm các lỗ hổng mới được tiết lộ”, Microsoft cho biết.

“DEV-0270 cũng sử dụng rộng rãi các mã nhị phân tồn tại trong đất liền (LOLBIN) trong suốt chuỗi tấn công để khám phá và truy cập thông tin xác thực. Điều này dẫn đến việc nó lạm dụng công cụ BitLocker tích hợp để mã hóa tệp trên các thiết bị bị xâm phạm.”

Việc sử dụng BitLocker và DiskCryptor của các diễn viên Iran cho các cuộc tấn công ransomware cơ hội được đưa ra ánh sáng vào đầu tháng 5 này, khi Secureworks tiết lộ một loạt các cuộc xâm nhập được gắn kết bởi một nhóm đe dọa mà nó theo dõi dưới tên Cobalt Mirage có quan hệ với Phosphorus (hay còn gọi là Cobalt Illusion) và TunnelVision .

Xem tiếp:   Medusa Android Banking Trojan lây lan qua mạng lưới các cuộc tấn công của Flubot

Các cuộc tấn công ransomware

DEV-0270 được biết đến với chức năng quét internet để tìm các máy chủ và thiết bị dễ bị lỗi trong Microsoft Exchange Server, Fortinet FortiGate SSL- và Apache Log4j để có được quyền truy cập ban đầu, sau đó là các hoạt động do thám mạng và đánh cắp thông tin xác thực.

Quyền truy cập vào mạng bị xâm nhập đạt được bằng cách thiết lập tính ổn định thông qua một tác vụ đã lên lịch. DEV-0270 sau đó nâng cấp đặc quyền lên cấp hệ thống, cho phép nó thực hiện các hành động sau khai thác như tắt Microsoft Defender Antivirus để tránh bị phát hiện, di chuyển ngang và mã hóa tệp.

“Nhóm mối đe dọa thường sử dụng các lệnh WMI, net, CMD và PowerShell và các cấu hình đăng ký để duy trì khả năng tàng hình và bảo mật hoạt động”, Microsoft cho biết. “Họ cũng cài đặt và giả mạo các tệp nhị phân tùy chỉnh của họ như là các quy trình hợp pháp để che giấu sự hiện diện của họ.”

Người dùng được khuyến nghị ưu tiên vá các máy chủ Exchange có kết nối internet để giảm thiểu rủi ro, hạn chế các thiết bị mạng như thiết bị Fortinet SSL-VPN thực hiện kết nối tùy ý với internet, thực thi mật khẩu mạnh và duy trì sao lưu dữ liệu thường xuyên.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …