微软警告6个伊朗黑客组织使用勒索软件

与伊朗有联系的民族国家运营商越来越多地使用勒索软件作为创收和故意破坏其目标的手段，同时还参与耐心和持续的社会工程活动以及咄咄逼人的暴力攻击

微软威胁情报中心（Microsoft threat Intelligence Center，MSTIC）的研究人员透露，至少有六个隶属于这个西亚国家的威胁行为者被发现部署勒索软件以实现其战略目标，并补充说，“这些勒索软件部署平均每六到八周进行一次。”

值得注意的是一个被追踪为磷（又名迷人小猫或APT35）的威胁行为体，它被发现扫描互联网上的IP地址，寻找未打补丁的Fortinet FortiOS SSL VPN和内部部署的Exchange服务器，以便在易受攻击的网络上获得初始访问和持久性，然后再部署额外的有效载荷，使参与者能够转向其他机器并部署勒索软件

剧本中的另一个策略是利用虚构的社交媒体账户网络，包括伪装成美女，在几个月内与目标建立信任，并最终交付带有恶意软件的文档，允许从受害者系统中过滤数据。人们发现，磷和第二个被称为“Curium”的威胁因素都采用了这种“耐心”的社会工程方法，以损害他们的目标

“攻击者通过持续不断的通信与目标用户建立关系，使他们能够与目标建立信任和信心，”MSTIC研究人员说。在我们观察到的许多案例中，目标真的认为他们是在进行人际联系，而不是与来自伊朗的威胁行为体进行互动。"

第三种趋势是使用密码喷雾攻击来攻击Office 365租户，目标是美国、欧盟和以色列的国防科技公司，微软上个月公布了这些公司的详细信息，同时将其归因于新兴的威胁群集DEV-0343

此外，黑客组织还展示了根据其战略目标和交易技巧进行调整和改变的能力，通过实施一系列攻击，如网络间谍、网络钓鱼和密码喷洒攻击，演变为精通干扰和信息操作的“更有能力的威胁参与者”，使用移动恶意软件、雨刷器和勒索软件，甚至进行供应链攻击

根据来自澳大利亚、英国和美国的网络安全机构发布的新警报，这些发现尤其重要，警告伊朗政府资助的黑客团体利用微软Exchange Pro SeBand和FordNET漏洞进行入侵。

“这些伊朗政府资助的APT参与者可以利用这种访问进行后续操作，如数据过滤或加密、勒索和敲诈，”这些机构在周三发布的联合公报中说。