Iranische COBALT MIRAGE Bedrohungsgruppe startet Ransomware-Angriffe auf US-Organisationen

[post-views]
Mai 17, 2022 · 3 min zu lesen
Iranische COBALT MIRAGE Bedrohungsgruppe startet Ransomware-Angriffe auf US-Organisationen

Vom iranischen Staat unterstützte Gegner beschleunigen ihr Tempo, indem sie verschiedene Angriffsvektoren nutzen und mehrere Branchen weltweit ins Visier nehmen. Auf dem Fuße der Spear-Phishing-Kampagne, die von der berüchtigten APT34-Gruppe ins Leben gerufen wurde, die sich verbreitet eine neue Saitama-Hintertür, steht ein weiteres mit dem Iran verbundenes Hacker-Kollektiv in den Schlagzeilen, weil es Ransomware-Angriffe gegen US-Unternehmen durchführt. Die vom iranischen Staat unterstützte Bedrohungsgruppe COBALT MIRAGE wurde bei der Durchführung finanziell motivierter Angriffe und Spionagekampagnen beobachtet, wobei die Aktivitäten häufig Ransomware-Operationen beinhalten.

Erkennung der Ransomware-Angriffe von COBALT MIRAGE

Durch einen proaktiven Ansatz der Cyberverteidigung können Organisationen erfolgreich mit dem sich schnell ändernden Bedrohungsumfeld Schritt halten. Um Ihre Infrastruktur vor COBALT MIRAGE-Einbrüchen zu schützen, hat SOC Primes Plattform eine brandneue Sigma-Regel veröffentlicht, die von unserem produktiven Threat-Bounty-Entwickler Kaan Yeniyolerstellt wurde. Diese Regel erkennt die potenziell feindliche Scan- und Exploit-Aktivität, die darauf abzielt, einen ersten Fuß in die Tür der Umgebung des Opfers zu bekommen:

Verdächtige COBALT MIRAGE Ransomware-Ausführung durch Erstellen eines Benutzerkontos auf einem kompromittierten System (via process_creation)

Die oben genannte Sigma-Regel kann in 23 SIEM-, EDR- und XDR-Lösungen verwendet werden und ist dem MITRE ATT&CK®-Framework zugeordnet. Sie adressiert die Taktiken Ausführung und Persistenz mit den entsprechenden Techniken Command and Scripting Interpreter (T1059) und Create Account (T1136).

Da Ransomware-Kampagnen immer ausgefeilter und weiter verbreitet werden, suchen Cybersecurity-Experten nach effizienteren Wegen, um ihnen standzuhalten. Klicken Sie auf die Ansichten-Erkennungen Schaltfläche, um Zugriff auf die umfangreichen, kontextangereicherten Detektionsalgorithmen für kritische Bedrohungen, einschließlich Ransomware-Angriffen, zu erhalten. Einzelne Cybersecurity-Forscher, Detection Engineers und Threat Hunters sind willkommen, sich dem Threat Bounty Program anzuschließen, das es ihnen ermöglicht, ihre beruflichen Fähigkeiten in finanzielle Vorteile umzuwandeln, indem sie aktiv Inhalte beitragen.

Ansichten-Erkennungen Am Threat Bounty teilnehmen

COBALT MIRAGE Aktivität: Cyberangriffe-Analyse

COBALT MIRAGE-Einbrüche fallen in zwei Gruppen basierend auf den Verhaltensmustern und Zielen des Gegners. Die erste nutzt BitLocker und DiskCryptor für Ransomware-Kampagnen, die auf finanziellen Gewinn abzielen, während die zweite sich hauptsächlich auf Cyberangriffe spezialisiert, um einen ersten Zugang zu erlangen und Informationen zu sammeln.

COBALT MIRAGE-Angriffe verwendeten früher Scan- und Exploit-Aktivitäten mit den berüchtigten Kampagnen von 2021, die Fortinet FortiOS-Schwachstellen ausnutzen und ProxyShell and Log4j Schwachstellen zur Erlangung des Fernzugriffs auf das Netzwerk des Opfers bewaffnen. Nach einer Flut der oben genannten Angriffe gaben CISA und FBI die entsprechende gemeinsame Cybersicherheitswarnung heraus, die US-Organisationen über die vom Iran unterstützte Hackergruppe benachrichtigt, die einen ersten Zugang zu kompromittierten Systemen erhält und Ransomware einsetzt, was COBALT MIRAGE zugeschrieben werden kann.

Laut den Cybersicherheitsforschernkann die COBALT MIRAGE-Aktivität mit einem weiteren vom Iran unterstützten Hacker-Kollektiv in Verbindung gebracht werden, das als COBALT ILLUSION verfolgt wird und aktiv Phishing als Hauptangriffsvektor zur Erlangung des ersten Zugangs nutzt. Darüber hinaus wurden einige Spuren der COBALT MIRAGE-Aktivität identifiziert, die den Verhaltensmustern von zwei weiteren, mit dem Iran verbundenen Hackergruppen, PHOSPHOROUS und TunnelVisionähneln.

Suchen Sie nach neuen Wegen, um Ihre Cyberverteidigungsfähigkeiten zu stärken und gleichzeitig Stunden an Bedrohungserkennungsforschung und Inhaltsentwicklung zu sparen? Treten Sie SOC Primes Detection as Code Platform bei, um auf die aktuellsten und mit Cyber Threat Intelligence angereicherten Erkennungsinhalte zuzugreifen, die mit MITRE ATT&CK® abgestimmt sind, um Ihre Cybersicherheitswirksamkeit zu verbessern.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko