Iranian COBALT MIRAGE Threat Group Launches Ransomware Attacks Against U.S. Organizations

イランの国家支援を受けた敵対者は、様々な攻撃手法を駆使して世界中の複数の産業を狙い、ペースを加速させています。有名なAPT34グループによるスピアフィッシングキャンペーンの直後であり、新たなSaitamaバックドア を広めている中、別のイラン関連のハッキング集団が米国企業を対象としたランサムウェア攻撃を実行し、ニュースになっています。イラン国家支援のCOBALT MIRAGE脅威グループは、金融目的の攻撃とスパイ活動を行っており、その活動にはしばしばランサムウェアのオペレーションが含まれます。, another Iran-linked hacking collective hits the headlines performing ransomware attacks against U.S. companies. The Iranian nation-backed COBALT MIRAGE threat group has been observed conducting financially motivated attacks and espionage campaigns with the activity frequently involving ransomware operations.  

COBALT MIRAGEランサムウェア攻撃の検出

プロアクティブなサイバー防御アプローチを採用することで、組織は急速に進化する脅威の状況にも対応できます。COBALT MIRAGEの侵入からインフラストラクチャを守るために、SOC Primeのプラットフォームは、当社の活動的なThreat Bounty開発者 Kaan Yeniyolによって作成された最新のSigmaルールをリリースしました。このルールは、被害者の環境内での初期の足元を得ることを意図した潜在的な敵対者のスキャンとエクスプロイト活動を検出します。

ユーザーアカウントを作成することで危険なCOBALT MIRAGEランサムウェアの実行が行われる可能性があるシステム（プロセス生成経由）

前述のSigmaルールは、23のSIEM、EDR、およびXDRソリューションで使用でき、MITRE ATT&CK®フレームワークにマッピングされており、ExecutionとPersistenceの戦術に対応するCommand and Scripting Interpreter（T1059）およびCreate Account（T1136）の技術に対応しています。

ランサムウェアキャンペーンがより高度かつ広範になるにつれて、サイバーセキュリティの専門家はそれらに耐えるためのより簡素化された効率的な方法を求めています。 検出を見る ボタンをクリックして、ランサムウェア攻撃を含む重要な脅威に対する包括的でコンテキストに富んだ検出アルゴリズムにアクセスしてください。個々のサイバーセキュリティ研究者、デテクションエンジニア、脅威ハンターは、プロフェッショナルなスキルを活用し、アクティブなコンテンツ寄付を通じて経済的利益を得ることができるThreat Bounty Programに参加することを歓迎します。

検出を見る Threat Bountyに参加

COBALT MIRAGE活動：サイバー攻撃分析

COBALT MIRAGEの侵入 は、敵対者の行動パターンと目的に基づいて2つのクラスターに分かれます。最初のものは、金銭的利益のためにランサムウェアキャンペーンを対象とするBitLockerとDiskCryptorを活用し、二番目のものは、初期アクセスを得て情報収集に特化しています。 based on the adversary behavior patterns and goals. The first one leverages BitLocker and DiskCryptor for ransomware campaigns aimed at financial gain, while the second primarily specializes in cyber-attacks to gain initial access and collect intelligence. 

COBALT MIRAGEの攻撃は スキャンとエクスプロイト活動を含むことが多く、 2021年に悪名高いキャンペーンとしてFortinet FortiOSの脆弱性を悪用し、 ProxyShell and と と 脆弱性を武器化して被害者のネットワークへのリモートアクセスを得ることが含まれていました。 これらの攻撃の雪崩の後に、CISAとFBIが

該当する共同サイバーセキュリティアラート を発行し、米国の組織に対して、侵害されたシステムへの初期アクセスを得た後にランサムウェアを展開するイラン支援のハッキンググループ、具体的にはCOBALT MIRAGEがあることを通知しました。サイバーセキュリティ研究者によれば TunnelVisionの行動パターンに類似した痕跡がいくつか確認されています。

脅威検出に関する調査とコンテンツ開発に要する時間を節約しつつ、サイバーディフェンス能力を新たに強化する方法を模索していますか？ SOC PrimeのDetection as Codeプラットフォーム に参加して、サイバー脅威インテリジェンスで充実した最新の検出コンテンツを手に入れ、MITRE ATT&CK®と整合させることでサイバーセキュリティの効果を高めましょう。