Le groupe de menaces iranien COBALT MIRAGE lance des attaques par ransomware contre des organisations américaines

[post-views]
mai 17, 2022 · 4 min de lecture
Le groupe de menaces iranien COBALT MIRAGE lance des attaques par ransomware contre des organisations américaines

Les adversaires soutenus par l’État iranien accélèrent leur rythme en tirant parti de différents vecteurs d’attaque et en ciblant plusieurs industries à travers le monde. À la suite de la campagne de spear-phishing lancée par le tristement célèbre groupe APT34 répandant une nouvelle porte dérobée Saitama, un autre collectif de hackers lié à l’Iran fait les gros titres en menant des attaques de ransomware contre des entreprises américaines. Le groupe de menace COBALT MIRAGE, soutenu par la nation iranienne, a été observé dans la réalisation d’attaques motivées par le gain financier et de campagnes d’espionnage, avec une activité impliquant souvent des opérations de ransomware.  

Détection des attaques de ransomware COBALT MIRAGE

En adoptant une approche proactive de la défense cybernétique, les organisations peuvent réussir à suivre le rythme du paysage des menaces en constante évolution. Pour protéger votre infrastructure contre les intrusions de COBALT MIRAGE, la plateforme de SOC Prime a publié une toute nouvelle règle Sigma conçue par notre prolifique développeur de Threat Bounty Kaan Yeniyol. Cette règle détecte l’activité de scan et d’exploitation potentielle de l’adversaire visant à obtenir un premier accès dans l’environnement de la victime :

Exécution suspecte de ransomware COBALT MIRAGE par création de compte utilisateur sur un système compromis (via process_creation)

La règle Sigma mentionnée ci-dessus peut être utilisée sur 23 solutions SIEM, EDR et XDR et est mappée au cadre MITRE ATT&CK® en abordant les tactiques d’Execution et de Persistence avec les techniques correspondantes de Command and Scripting Interpreter (T1059) et Create Account (T1136). 

Avec les campagnes de ransomware devenant plus avancées et répandues, les professionnels de la cybersécurité recherchent des moyens plus rationalisés et efficaces pour y faire face. Cliquez sur le Voir les détections pour accéder aux algorithmes de détection enrichis en contexte pour des menaces critiques, y compris les attaques de ransomware. Les chercheurs en cybersécurité individuels, les ingénieurs en détection et les chasseurs de menaces sont invités à rejoindre le programme Threat Bounty leur permettant de transformer leurs compétences professionnelles en avantages financiers via une contribution active de contenu.

Voir les détections Rejoindre le Threat Bounty

Activité COBALT MIRAGE : Analyse des cyberattaques

Les intrusions COBALT MIRAGE se répartissent en deux groupes selon les modèles de comportement et les objectifs des adversaires. Le premier utilise BitLocker et DiskCryptor pour les campagnes de ransomware visant un gain financier, tandis que le second se spécialise principalement dans les cyberattaques pour obtenir un accès initial et collecter des informations. 

Les attaques COBALT MIRAGE ont été utilisées pour impliquer une activité de scan-et-exploitation avec les campagnes infâmes de 2021 exploitant les failles de Fortinet FortiOS et armant ProxyShell and Log4j des vulnérabilités pour obtenir un accès à distance au réseau de la victime. Après une avalanche des attaques mentionnées ci-dessus, la CISA et le FBI ont émis l’ alerte conjointe de cybersécurité correspondante notifiant les organisations américaines du groupe de hackers soutenu par l’Iran qui obtient un premier accès aux systèmes compromis et déploie des ransomwares, ce qui peut être attribué à COBALT MIRAGE.

Selon les chercheurs en cybersécurité, l’activité COBALT MIRAGE peut être liée à un autre collectif de hackers soutenu par l’Iran suivi sous le nom de COBALT ILLUSION, qui utilise activement le phishing comme principal vecteur d’attaque pour obtenir un accès initial. De plus, certaines traces de l’activité COBALT MIRAGE ont été identifiées comme ressemblant aux modèles de comportement de deux autres groupes de hackers liés à l’Iran, PHOSPHOROUS et TunnelVision

Vous cherchez de nouvelles façons d’améliorer vos capacités de défense cybernétique tout en économisant des heures sur la recherche de détection de menaces et le développement de contenu ? Rejoignez la plateforme Detection as Code de SOC Prime pour accéder au contenu de détection le plus à jour enrichi d’intelligence sur les menaces cybernétiques et aligné avec MITRE ATT&CK® pour améliorer votre efficacité en matière de cybersécurité.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Blog, Dernières Menaces — 5 min de lecture
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Veronika Telychko
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Blog, Dernières Menaces — 6 min de lecture
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Veronika Telychko