微软警告伊朗磷黑客组织勒索软件攻击

微软的威胁情报部门周三评估称，被追踪为“磷”的伊朗威胁行为人的一个小组正在进行勒索软件攻击，作为个人利益的“兼职形式”。

这家科技巨头正以这个绰号监控活动集群DEV-0270（又名Nemesis Kitten）表示，它由一家公司运营，该公司的公共别名为Secnerd和Lifeweb，并引用了该集团和两个组织之间的基础设施重叠。

“DEV-0270利用高严重性漏洞的漏洞来访问设备，并以早期采用新披露的漏洞而闻名，”微软表示。

“DEV-0270还在整个攻击链中广泛使用非陆地二进制文件（LOLBINs）进行发现和凭证访问。这扩展到其滥用内置BitLocker工具来加密受损设备上的文件”。

今年5月早些时候，伊朗行为体利用BitLocker和DiskCryptor进行机会主义勒索软件攻击的事件曝光，当时Secureworks披露了一组由其跟踪的威胁集团发起的入侵，该集团名为Cobalt Mirage，与磷（又名Cobalt Illusion）和TunnelVision有关联。

众所周知，DEV-0270扫描互联网以查找易受Microsoft Exchange Server、Fortinet FortiGate SSL-VPN和Apache Log4j漏洞影响的服务器和设备，以获得初始访问，然后进行网络侦察和凭证盗窃活动。

通过调度任务建立持久性，实现对受损网络的访问。然后，DEV-0270将权限提升到系统级别，允许其执行攻击后操作，例如禁用Microsoft Defender Antivirus以逃避检测、横向移动和文件加密。

“威胁组通常使用本机WMI、net、CMD和PowerShell命令和注册表配置来维护隐形和操作安全，”微软表示。“他们还安装自定义二进制文件并将其伪装为合法进程，以隐藏它们的存在”。

在一些成功的感染中，有人看到该组织在最初的妥协后大约两天就放弃了赎金，并要求8000美元的解密密钥。在一个受害者实体拒绝付款的情况下，行为人选择将被盗数据发布出售。

建议用户优先对面向internet的Exchange服务器进行修补，以降低风险，限制Fortinet SSL-VPN设备等网络设备与internet的任意连接，强制使用强密码，并定期维护数据备份。