İranlı bir operasyonel bağlantıya sahip bir fidye yazılımı grubu, İsrail, ABD, Avrupa ve Avustralya’daki kuruluşları hedef alan bir dizi dosya şifreli kötü amaçlı yazılım saldırısına bağlandı.
Siber güvenlik firması Secureworks, izinsiz girişleri, Cobalt Illusion (aka APT35, Charming Kitten, Newscaster veya Phosphorus) adlı İranlı bir bilgisayar korsanlığı ekibiyle bağlantılı olduğunu söylediği Cobalt Mirage takma adıyla izlediği bir tehdit aktörüne bağladı.
“Kobalt Serabı etkinliğinin unsurları, rapor edildi olarak Phosphorus and TunnelVision,” Secureworks Counter Threat Unit (CTU) dedim The Hacker News ile paylaşılan bir raporda.
Tehdit aktörünün, biri meşru araçların kullanımını içeren fırsatçı fidye yazılımı saldırılarıyla ilgili olan iki farklı izinsiz giriş grubu gerçekleştirdiği söyleniyor. BitLocker ve finansal kazanç için DiskCryptor.
İkinci saldırı grubu, erişimi güvence altına almak ve istihbarat toplamak ve aynı zamanda belirli durumlarda fidye yazılımı dağıtmak gibi birincil hedefle gerçekleştirilen daha hedefe yöneliktir.
İlk erişim yolları, Fortinet cihazlarındaki ve Microsoft Exchange Sunucularındaki yüksek düzeyde kamuya açık kusurlara karşı savunmasız olan internete açık sunucuları tarayarak web kabuklarını düşürmek ve bunları yatay olarak hareket etmek ve fidye yazılımını etkinleştirmek için bir kanal olarak kullanmak suretiyle kolaylaştırılır.
Ancak Secureworks, Ocak 2022’de adı açıklanmayan bir ABD hayır kurumuna yönelik saldırıyı detaylandırarak, tam hacimli şifreleme özelliğinin tetiklenmesinin kesin yolunun bilinmediğini söyledi.
Mart 2022’nin ortalarında bir ABD yerel yönetim ağını hedefleyen bir başka izinsiz girişin, keşif ve ağ tarama operasyonlarını yürütmek için hedefin VMware Horizon altyapısındaki Log4Shell kusurlarından yararlandığına inanılıyor.
Araştırmacılar, “Ocak ve Mart olayları, Kobalt Mirage tarafından yürütülen farklı saldırı tarzlarını simgeliyor” dedi.
“Tehdit aktörleri, çok çeşitli hedeflere ilk erişim sağlama konusunda makul bir başarıya sahip gibi görünse de, finansal kazanç veya istihbarat toplama için bu erişimden yararlanma yetenekleri sınırlı görünüyor.”