Il Gruppo di Minaccia Iraniano COBALT MIRAGE Lancia Attacchi Ransomware Contro Organizzazioni Statunitensi

[post-views]
Maggio 17, 2022 · 4 min di lettura
Il Gruppo di Minaccia Iraniano COBALT MIRAGE Lancia Attacchi Ransomware Contro Organizzazioni Statunitensi

Gli avversari sostenuti dallo stato iraniano stanno accelerando il loro ritmo sfruttando diversi vettori di attacco e prendendo di mira molteplici settori in tutto il mondo. Sulle orme della campagna di spear-phishing lanciata dal famigerato gruppo APT34 che diffonde un nuovo backdoor Saitama, un altro collettivo di hacker legato all’Iran fa notizia compiendo attacchi ransomware contro aziende statunitensi. Il gruppo di minacce COBALT MIRAGE, sostenuto dalla nazione iraniana, è stato osservato mentre conduceva attacchi motivati ​​finanziariamente e campagne di spionaggio con attività che coinvolgono spesso operazioni ransomware.  

Rilevamento degli attacchi ransomware COBALT MIRAGE

Adottando un approccio proattivo alla difesa informatica, le organizzazioni possono riuscire a tenere il passo con il panorama delle minacce in rapida evoluzione. Per proteggere la tua infrastruttura dalle intrusioni di COBALT MIRAGE, la piattaforma di SOC Prime ha rilasciato una nuovissima regola Sigma creata dal nostro prolifico sviluppatore Threat Bounty Kaan Yeniyol. Questa regola rileva l’attività potenziale di scansione e sfruttamento dell’avversario mirata a ottenere un punto d’appoggio iniziale nell’ambiente della vittima:

Esecuzione sospetta del ransomware COBALT MIRAGE tramite la creazione di un account utente su sistema compromesso (via process_creation)

La regola Sigma sopramenzionata può essere utilizzata su 23 soluzioni SIEM, EDR e XDR ed è mappata al framework MITRE ATT&CK®, affrontando le tattiche di Esecuzione e Persistenza con le corrispondenti tecniche Command and Scripting Interpreter (T1059) e Create Account (T1136). 

Con le campagne ransomware che diventano più avanzate e diffuse, i professionisti della sicurezza informatica cercano modi più efficienti e semplificati per resistervi. Fare clic sul pulsante Visualizza rilevamenti per ottenere l’accesso agli algoritmi di rilevamento estesi e arricchiti di contesto per minacce critiche, inclusi gli attacchi ransomware. I ricercatori di sicurezza informatica individuali, gli ingegneri della rilevazione e i cacciatori di minacce sono invitati a unirsi alle fila del Programma Threat Bounty, consentendo loro di trasformare le loro competenze professionali in benefici finanziari tramite un contributo attivo di contenuti.

Visualizza rilevamenti Partecipa al Threat Bounty

Attività COBALT MIRAGE: Analisi dei cyber-attacchi

Le intrusioni COBALT MIRAGE si dividono in due cluster basati sui modelli di comportamento e sugli obiettivi degli avversari. Il primo sfrutta BitLocker e DiskCryptor per campagne ransomware destinate al guadagno finanziario, mentre il secondo si specializza principalmente in cyber-attacchi per ottenere l’accesso iniziale e raccogliere intelligence. 

Gli attacchi COBALT MIRAGE usavano includere attività di scansione e sfruttamento nelle campagne infami del 2021 che sfruttavano le falle di Fortinet FortiOS e usavano ProxyShell ProxyShell and Log4j vulnerabilità per ottenere l’accesso remoto alla rete della vittima.  Dopo una valanga degli attacchi sopra menzionati, CISA e FBI hanno rilasciato il corrispondente avviso congiunto sulla sicurezza informatica che notifichi alle organizzazioni statunitensi il gruppo di hacker sostenuto dall’Iran che ottiene l’accesso iniziale ai sistemi compromessi e implementa ransomware, che può essere attribuito a COBALT MIRAGE.

Secondo i ricercatori sulla sicurezza informatical’attività di COBALT MIRAGE può essere collegata a un altro collettivo di hacker supportato dall’Iran rintracciato come COBALT ILLUSION, che sfrutta attivamente il phishing come principale vettore di attacco per ottenere l’accesso iniziale. Inoltre, alcune tracce dell’attività di COBALT MIRAGE sono state identificate come simili ai modelli di comportamento di altri due gruppi di hacker legati all’Iran, PHOSPHOROUS e TunnelVision

Cerchi nuovi modi per potenziare le tue capacità di difesa informatica risparmiando ore sulla ricerca di rilevazione delle minacce e sullo sviluppo di contenuti? Unisciti alla piattaforma Detection as Code di SOC Prime per accedere ai contenuti di rilevamento più aggiornati arricchiti con informazioni sulla minaccia informatica e allineati con MITRE ATT&CK® per aumentare l’efficacia della tua sicurezza informatica.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko