伊朗黑客利用BitLocker和DiskCryptor进行勒索软件攻击

一个与伊朗有业务联系的勒索软件集团与一系列针对以色列、美国、欧洲和澳大利亚组织的文件加密恶意软件攻击有关。

网络安全公司Secureworks将入侵事件归咎于其追踪的名为Cobalt Mirage的威胁行为人，该公司称其与伊朗黑客组Cobalt Falsion（又名APT35、迷人小猫、新闻播音员或磷）有关。

“钴幻影活动的元素被报道为磷和隧道破坏，”Secureworks反威胁小组（CTU）在与黑客新闻共享的报告中表示。

据称，该威胁行为人实施了两组不同的入侵，其中一组涉及机会主义勒索软件攻击，涉及使用BitLocker和DiskCryptor等合法工具获取经济利益。

第二组攻击更具针对性，其主要目标是确保访问安全和收集情报，同时在特定情况下部署勒索软件。

通过扫描易受Fortinet设备和Microsoft Exchange服务器中广为人知的缺陷影响的面向internet的服务器，放下网络外壳，并将其用作横向移动和激活勒索软件的管道，可以简化初始访问路径。

研究人员说：“威胁行为人以一种不同寻常的战术完成了袭击，即向当地印刷厂发送勒索单”。“注释包括一个联系电子邮件地址和电报帐户，用于讨论解密和恢复”。

然而，Secureworks表示，触发完整卷加密功能的确切方式仍不得而知。Secureworks详细介绍了2022年1月针对一家未具名美国慈善组织的攻击。

据信，2022年3月中旬针对美国地方政府网络的另一次入侵利用了目标公司VMware Horizon基础架构中的Log4Shell缺陷来进行侦察和网络扫描操作。

研究人员总结道：“1月和3月的事件代表了钴海市蜃楼发动的不同类型的袭击”。

“虽然威胁行为体似乎已取得了一定程度的成功，初步接触到范围广泛的目标，但他们利用这种接触获取经济利益或情报的能力似乎有限”。