Một nhóm ransomware có kết nối hoạt động ở Iran đã được liên kết với một chuỗi các cuộc tấn công phần mềm độc hại mã hóa tệp nhắm vào các tổ chức ở Israel, Mỹ, Châu Âu và Úc.
Công ty an ninh mạng Secureworks quy các vụ xâm nhập là do một kẻ đe dọa mà nó theo dõi dưới biệt danh Cobalt Mirage, mà họ cho là có liên quan đến một nhóm tấn công Iran có tên là Cobalt Illusion (hay còn gọi là APT35, Charming Kitten, Newscaster, hoặc Phosphorus).
“Các yếu tố của hoạt động Cobalt Mirage đã được báo cáo là Phosphorus và TunnelVision”, Đơn vị Chống Đe dọa Secureworks (CTU) cho biết trong một báo cáo được chia sẻ với The Hacker News.
Kẻ đe dọa được cho là đã thực hiện hai đợt xâm nhập khác nhau, một trong số đó liên quan đến các cuộc tấn công ransomware cơ hội liên quan đến việc sử dụng các công cụ hợp pháp như BitLocker và DiskCryptor để thu lợi tài chính.
Nhóm tấn công thứ hai nhắm mục tiêu nhiều hơn, được thực hiện với mục tiêu chính là đảm bảo quyền truy cập và thu thập thông tin tình báo, đồng thời triển khai ransomware trong một số trường hợp nhất định.
Các tuyến truy cập ban đầu được tạo điều kiện thuận lợi bằng cách quét các máy chủ hướng tới internet dễ bị tấn công bởi các lỗ hổng công khai cao trong các thiết bị Fortinet và Máy chủ Microsoft Exchange để thả web shell và sử dụng chúng như một đường dẫn để di chuyển ngang và kích hoạt ransomware.
Tuy nhiên, phương tiện chính xác mà tính năng mã hóa toàn bộ khối lượng được kích hoạt vẫn chưa được biết, Secureworks cho biết chi tiết về một cuộc tấn công vào tháng 1 năm 2022 nhằm vào một tổ chức từ thiện giấu tên của Hoa Kỳ.
Một cuộc xâm nhập khác nhằm vào mạng của chính quyền địa phương Hoa Kỳ vào giữa tháng 3 năm 2022 được cho là đã tận dụng lỗ hổng Log4Shell trong cơ sở hạ tầng VMware Horizon của mục tiêu để tiến hành các hoạt động do thám và quét mạng.
Các nhà nghiên cứu kết luận: “Các sự cố tháng Giêng và tháng Ba là điển hình cho các kiểu tấn công khác nhau do Cobalt Mirage tiến hành”.
“Mặc dù các tác nhân đe dọa dường như đã đạt được mức độ thành công hợp lý khi đạt được quyền truy cập ban đầu vào một loạt các mục tiêu, nhưng khả năng tận dụng quyền truy cập đó để thu lợi tài chính hoặc thu thập thông tin tình báo có vẻ hạn chế.”
.
