Irańska grupa zajmująca się cyberprzestępczością Phosphorus prowadzi kampanię oprogramowania ransomware w celu osiągnięcia osobistych korzyści – ujawnili wczoraj badacze z centrum analizy zagrożeń (MSTIC) Microsoftu.
Eksperci ds. bezpieczeństwa uważają, że podgrupa nazwana Nemesis Kitten i śledzona jako DEV-0270 prowadzi kilka złośliwych operacji, w tym szeroko zakrojone skanowanie podatności, w imieniu rządu irańskiego.
Podejrzewają również, że ze względu na charakter ataków, z których większość „nie miała strategicznej wartości dla reżimu”, nowo obserwowana kampania może nie być koordynowana przez rząd i zamiast tego jest prowadzona dla osobistych korzyści członków gangu.
Sposób przeprowadzania ataku
Przestępcy próbowali uzyskać dostęp przez różne znane luki w zabezpieczeniach, takie jak Exchange, Fortinet i Log4j 2. Po naruszeniu docelowego urządzenia lub sieci atakujący dokonywali wykrywania środowiska i kradzieży poświadczeń, uzyskiwali trwałość, eskalowali uprawnienia i wdrażali techniki wymijające aby uniknąć wykrycia.
„Grupa zagrożeń często używa natywnych poleceń WMI, sieci, CMD i PowerShell oraz konfiguracji rejestru w celu utrzymania ukrycia i bezpieczeństwa operacyjnego”, zgodnie z doradztwem bezpieczeństwa MSTIC. „Instalują również i maskują swoje niestandardowe pliki binarne jako legalne procesy, aby ukryć swoją obecność. Niektóre z legalnych procesów, które maskują swoje narzędzia, obejmują: dllhost.exe, task_update.exe, user.exe i CacheTask.”
Eksperci ds. bezpieczeństwa zauważyli, że ataki DEV-0270 często włączają szyfrowanie funkcją BitLocker za pomocą poleceń setup.bat, czyniąc urządzenie hosta bezużytecznym. Grupa hakerów wdraża DiskCryptor, narzędzie szyfrujące typu open source, na zhakowanych urządzeniach z systemem Windows za pośrednictwem protokołu RDP. Po uruchomieniu narzędzie zaczyna szyfrować cały dysk urządzenia i blokuje ofiarę ze stacji roboczej.
Wskazówki ekspertów
W biuletynie zabezpieczeń firma MSTIC zamieściła szereg wskazówek dotyczących łagodzenia skutków, które mają odstraszyć techniki specyficzne dla DEV-0270:
Nadaj priorytet łataniu serwerów Exchange z dostępem do Internetu
Należę do działu Webmasterów. Do moich zadań należy tworzenie, poprawianie i pozycjonowanie nowych stron i wpisów na blogu. Aktualnie dalej jestem na etapie kształcenia się jako informatyk.
W wolnym czasie dokształcam się w zakresie kolejnych języków programowania i uczę się tworzenia aplikacji mobilnych. W weekendy lubię zrelaksować się wędkując.