هکرهای ایرانی از BitLocker و DiskCryptor در حملات باج افزار استفاده می کنند


به این مطلب امتیاز دهید

گویا یک گروه باج‌افزاری عملیاتی ایران به مجموعه‌ای از حملات بدافزار رمزگذاری فایل که سازمان‌هایی را در اسرائیل، ایالات متحده، اروپا و استرالیا هدف قرار می‌دهند، مرتبط است.

شرکت امنیت سایبری Secureworks این نفوذها را به یک عامل تهدیدی نسبت داد که تحت نام Cobalt Mirage شناخته میشود، که به گفته او با یک گروه هکر ایرانی به نام Cobalt Illusion (با نام مستعار APT35، گربه جذاب، گوینده خبر یا فسفر) مرتبط است.

Secureworks Counter Threat Unit (CTU) گفت: «عناصر فعالیت Cobalt Mirage به عنوان فسفر و TunnelVision گزارش شده است.

گفته می شود که عامل تهدید به دو مجموعه مختلف نفوذ انجام داده است که یکی از آنها مربوط به حملات باج افزاری است که شامل استفاده از ابزارهای قانونی مانند BitLocker و DiskCryptor برای منافع مالی است.

مجموعه دوم حملات بیشتر هدفمند هستند و با هدف اولیه ایمن سازی دسترسی و جمع آوری اطلاعات و همچنین استقرار باج افزار در موارد منتخب انجام می شوند.

مسیرهای دسترسی اولیه با اسکن سرورهای internet-facing آسیب‌پذیر در برابر نقص‌های عمومی در دستگاه‌های Fortinet و سرورهای Microsoft Exchange برای drop کردن Web Shell ها و استفاده از آنها جهت فعال کردن باج افزار تسهیل می‌شود.

با این حال، Secureworks با بیان جزئیات حمله ژانویه 2022 علیه یک سازمان بشردوستانه ایالات متحده که نامش فاش نشده، گفت: با این حال، ابزار دقیقی که از طریق آن ویژگی رمزگذاری با حجم کامل فعال می شود، ناشناخته باقی مانده است.

اعتقاد بر این است که نفوذ دیگری که در اواسط مارس 2022 به شبکه دولت محلی ایالات متحده انجام شده که هکر ها از نقص های Log4Shell در زیرساخت VMware Horizon هدف برای انجام عملیات شناسایی و اسکن شبکه استفاده کردند.

محققین نتیجه گرفتند: “حوادث ژانویه و مارس نمونه ای از سبک های مختلف حملات انجام شده توسط Cobalt Mirage است.”

“در حالی که به نظر می رسد بازیگران تهدید سطح معقولی از موفقیت در دستیابی به دسترسی اولیه به طیف گسترده ای از اهداف را داشته اند، توانایی آنها برای سرمایه گذاری از این دسترسی برای منافع مالی یا جمع آوری اطلاعات محدود به نظر می رسد.”

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.