首页 > 安全 > 正文

伊朗链接的钴海市rage小组在其运营中使用勒索软件

最后更新 :2022.05.13

伊朗集团在针对以色列,美国,欧洲和澳大利亚的组织的一系列攻击中使用了Bitlocker和DiskCryptor。

SecureWorks Counter Thraite单位(CTU)的研究人员正在调查一系列攻击。与伊朗相关的钴海市rage apt组。自2020年6月以来,威胁行为者一直活跃,与伊朗钴幻觉小组(又名APT35,迷人的小猫,磷和隧道式)有关。

研究人员确定了与钴海市rage相关的两个不同的入侵簇(标记为群集A和簇B)。
COBALT MIRAGE Iran

在群集A中,APT组使用Bitlocker和DiskCryptor进行经济上动机的机会性勒索软件攻击。集群B着重于用于情报目的的有针对性攻击,但专家观察到一些部署勒索软件的攻击。

大多数受害者在以色列,美国,欧洲E和澳大利亚。威胁参与者通过在线暴露的扫描服务器并利用已知漏洞(例如Fortinet Fortios漏洞CVE-2018-13379,CVE-2020-12812)和CVE-2019-5591获得最初的访问权限。从2021年9月下旬开始,通过利用ProxyShell漏洞(CVE-2021-34473,CVE-2021-34523和CVE-2021-31207)来瞄准该小组,并通过利用Proxyshell漏洞来针对Microsoft Exchange服务器。

研究人员还观察到了12月底使用的钴海市rage楼,而未完成的勒索软件尝试,而他们的基础架构则托管了与Hiddentear开放式勒索勒索软件项目相关的文件,后者是后者该小组尚未在野外攻击中使用。

一月和三月事件代表了钴米奇(Cobalt Mirage)进行的不同攻击方式。尽管威胁行为者似乎取得了合理的成功水平CCESS到广泛的目标上,他们利用该访问经济收益或情报收集的能力似乎有限。总结报告。至少,钴幻影能够使用公开可用的加密工具进行勒索软件操作和大规模扫描和探索活动来妥协组织构成持续的威胁。



请投票给安全事务作为安全事务作为安全事务欧洲最佳网络安全博客作者颁奖2022年为您的获奖者投票在“弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客和您选择的其他方面”中为我投票。提名,提名,提名,提名,提名,提名,提名,请访问:

https://docs.google.com/forms/d/e/1faipqlsfxxr ticelimz9qm9iipumqic-iom-iom-npqmosfznjxrbqryjgcryjgcow/viewform/viewform

- END -

看更多