Một nhóm ransomware hoạt động tại Iran có liên quan đến các tấn công nhắm vào các tổ chức ở Israel, Mỹ, Châu Âu và Úc.
Công ty an ninh mạng Secureworks quy các vụ xâm nhập là do một kẻ đe dọa có biệt danh Cobalt Mirage. Secureworks cho rằng hacker này có liên quan đến một nhóm tác nhân đe dọa có tên là Cobalt Illusion (hay còn gọi là APT35, Charming Kitten, Newscaster, hoặc Phosphorus).
Hacker thực hiện hai đợt tấn công, một trong số đó liên quan đến tấn công ransomware lợi dụng các công cụ hợp pháp như BitLocker và DiskCryptor. Đợt tấn công thứ hai được thực hiện với mục tiêu chính là đảm bảo quyền truy cập và thu thập thông tin, đồng thời triển khai ransomware trong một số trường hợp nhất định.
Tuyến truy cập ban đầu được thực hiện bằng cách quét các máy chủ tiếp diện internet chứa lỗ hổng công khai trong các thiêt bị thiết bị Fortinet và Máy chủ Microsoft Exchange để triển khai webshell sau đó triển khai ransomware.Tuy nhiên, phương tiện mã hóa toàn bộ dữ liệu hệ thống chưa được tiết lộ. Secureworks cho biết, một cuộc tânc công tương tự đã sảy ra đầu năm nay nhằm vào một tổ chức từ thiện giấu tên của Hoa Kỳ.
Một cuộc xâm nhập khác nhằm vào mạng của chính quyền địa phương Hoa Kỳ vào giữa tháng 3 năm 2022 đã tận dụng lỗ hổng Log4Shell trong cơ sở hạ tầng VMware Horizon để thực hiện thăm dò và quét mạng.
Các nhà nghiên cứu kết luận: “Các sự cố tháng Giêng và tháng Ba là điển hình cho các kiểu tấn công khác nhau do Cobalt Mirage tiến hành.Mặc dù các tác nhân đe dọa đã thành công đạt được quyền truy cập vào hệ thống nhưng khả năng tận dụng quyền truy cập đó để thu lợi tài chính hoặc thu thập thông tin trên hệ thống còn hạn chế.”
Theo https://thehackernews.com/
