最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

微软:伊朗黑客使用BitLocker加密Windows系统功能来加密受害者

网络安全 快米云 来源:快米云 108浏览

微软表示,它追踪为 DEV-0270(又名 Nemesis Kitten)的伊朗国家支持的威胁组织一直在攻击中滥用 BitLocker Windows 功能来加密受害者的系统。

Redmond 的威胁情报团队发现,该组织能够快速利用新披露的安全漏洞,并在攻击中广泛使用外来二进制文件 (LOLBIN)。

这与 Microsoft 的发现一致,即 DEV-0270 使用 BitLocker,这是一种数据保护功能,可在运行 Windows 10、Windows 11 或 Windows Server 2016 及更高版本的设备上提供全卷加密。

“已经看到 DEV-0270 使用 setup.bat 命令启用 BitLocker 加密,这导致主机无法运行,”Microsoft 安全威胁情报 解释说。

“对于工作站,该小组使用了 DiskCryptor,这是一种适用于 Windows 的开源全盘加密系统,允许对设备的整个硬盘进行加密。”

从初始访问到在锁定系统上部署赎金记录之间的赎金 (TTR) 时间约为两天,据观察,DEV-0270 要求受害者在成功攻击后支付 8,000 美元用于解密密钥。

DEV-0270 攻击链(微软)
谋私利
雷德蒙德说,这是伊朗支持的 Phosphorus网络间谍组织(又名 Charming Kitten 和 APT35)的一个子组织, 以瞄准和收集与全球政府、非政府组织和国防组织有关的知名受害者的情报而闻名。

根据微软的低置信度评估,DEV-0270 似乎是“为个人或公司特定的创收”而兼职。

基于“大量基础设施重叠”,微软表示该组织由一家伊朗公司运营,该公司有两个别名:Secnerd (secnerd[.]ir) 和 Lifeweb (lifeweb[.]it)。

“这些组织还与位于伊朗卡拉季的 Najee Technology Hooshmand (ناجی تکنولوژی هوشمند) 有关,”Redmond 补充道。

“该组织的目标通常是机会主义的:攻击者扫描互联网以查找易受攻击的服务器和设备,使具有易受攻击和可发现的服务器和设备的组织容易受到这些攻击。”由于 DEV-0270 的许多攻击都利用了 Exchange (ProxyLogon) 或 Fortinet (CVE-2018-13379) 中的已知漏洞,因此建议公司修补其面向 Internet 的服务器以阻止利用尝试和随后的勒索软件攻击。

SecureWorks 的反威胁部门 (CTU) 在 5 月报告了与Secureworks 跟踪的与 COBALT MIRAGE(元素与 Phosphorus APT 组重叠的元素)相关的类似恶意活动。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软:伊朗黑客使用BitLocker加密Windows系统功能来加密受害者