Grupo de Ameaça Iraniano COBALT MIRAGE Lança Ataques de Ransomware Contra Organizações dos EUA
Índice:
Adversários apoiados pelo estado iraniano estão acelerando seu ritmo ao aproveitar diferentes vetores de ataque e almejando múltiplas indústrias ao redor do mundo. Logo após a campanha de spear-phishing lançada pelo infame grupo APT34 espalhando uma nova backdoor Saitama, outro coletivo de hackers ligado ao Irã aparece nas manchetes realizando ataques de ransomware contra empresas dos EUA. Observou-se que o grupo de ameaça COBALT MIRAGE, apoiado pela nação iraniana, está conduzindo ataques motivados financeiramente e campanhas de espionagem com atividades frequentemente envolvendo operações de ransomware.
Detecção de Ataques de Ransomware COBALT MIRAGE
Ao adotar uma abordagem proativa de defesa cibernética, as organizações podem ter sucesso em acompanhar o cenário de ameaças em rápida evolução. Para proteger sua infraestrutura contra intrusões COBALT MIRAGE, a plataforma da SOC Prime lançou uma nova regra Sigma criada pelo nosso prolífico desenvolvedor Threat Bounty Kaan Yeniyol. Esta regra detecta a atividade suspeita de varredura e exploração do potencial adversário visando obter uma posição inicial no ambiente da vítima:
A regra Sigma mencionada acima pode ser usada em 23 soluções SIEM, EDR e XDR e está mapeada para o framework MITRE ATT&CK®, abordando as táticas de Execução e Persistência com as técnicas correspondentes de Comando e Interpretador de Scripts (T1059) e Criar Conta (T1136).
Com campanhas de ransomware se tornando mais avançadas e disseminadas, os profissionais de cibersegurança buscam maneiras mais eficientes e simplificadas de resistir a elas. Clique no botão Ver Detecções para obter acesso a algoritmos de detecção extensos e enriquecidos em contexto para ameaças críticas, incluindo ataques de ransomware. Pesquisadores individuais de cibersegurança, Engenheiros de Detecção e Caçadores de Ameaças são bem-vindos para se juntar ao programa Threat Bounty, permitindo-lhes transformar suas habilidades profissionais em benefícios financeiros através da contribuição ativa de conteúdo.
Ver Detecções Junte-se ao Threat Bounty
Atividade COBALT MIRAGE: Análise de Ciberataques
As intrusões COBALT MIRAGE caem em dois grupos com base nos padrões de comportamento e objetivos do adversário. O primeiro alavanca BitLocker e DiskCryptor para campanhas de ransomware visando ganho financeiro, enquanto o segundo se especializa principalmente em ciberataques para obter acesso inicial e coletar inteligência.
Os ataques do COBALT MIRAGE costumavam envolver atividade de varredura e exploração com as infames campanhas de 2021 explorando falhas do Fortinet FortiOS e armando ProxyShell and Log4j vulnerabilidades para obter acesso remoto à rede da vítima. Após uma avalanche dos ataques mencionados acima, a CISA e o FBI emitiram o alerta conjunto de cibersegurança correspondente notificando organizações dos EUA sobre o grupo de hackers apoiado pelo Irã que ganha acesso inicial aos sistemas comprometidos e implanta ransomware, o que pode ser atribuído ao COBALT MIRAGE.
De acordo com os pesquisadores de cibersegurança, a atividade COBALT MIRAGE pode estar ligada a outro coletivo de hackers apoiado pelo Irã rastreado como COBALT ILLUSION, que utiliza ativamente phishing como o principal vetor de ataque para obter acesso inicial. Além disso, alguns traços da atividade COBALT MIRAGE foram identificados como semelhantes aos padrões de comportamento de mais dois grupos de hackers ligados ao Irã, PHOSPHOROUS e TunnelVision.
Procurando novas maneiras de impulsionar suas capacidades de defesa cibernética, economizando horas em pesquisa de detecção de ameaças e desenvolvimento de conteúdo? Junte-se à plataforma Detection as Code da SOC Prime para alcançar o conteúdo de detecção mais atualizado enriquecido com inteligência de ameaças cibernéticas e alinhado ao MITRE ATT&CK® para aumentar a eficácia de sua cibersegurança.
