Eine Ransomware-Gruppe mit iranischen Verbindungen wurde mit einer Reihe von Angriffen auf Organisationen in Israel, den USA, Europa und Australien in Verbindung gebracht, bei denen Dateien verschlüsselt wurden.
Das Cybersecurity-Unternehmen Secureworks führt die Angriffe auf einen Bedrohungsakteur zurück, den es unter dem Namen Cobalt Mirage verfolgt und der mit einer iranischen Hackergruppe namens Cobalt Illusion (auch bekannt als APT35, Charming Kitten, Newscaster oder Phosphorus) in Verbindung gebracht wird.
„Elemente der Cobalt Mirage-Aktivitäten wurden als Phosphorus und TunnelVision gemeldet“, so die Secureworks Counter Threat Unit (CTU) in einem Bericht an The Hacker News.
Der Bedrohungsakteur soll zwei verschiedene Einbrüche durchgeführt haben, von denen sich einer auf opportunistische Ransomware-Angriffe bezieht, bei denen legitime Tools wie BitLocker und DiskCryptor zur finanziellen Bereicherung eingesetzt werden.
Die zweite Gruppe von Angriffen ist gezielter und zielt in erster Linie darauf ab, sich Zugang zu verschaffen und Informationen zu sammeln, während in einigen Fällen auch Ransomware eingesetzt wird.
Die ersten Zugangswege werden durch das Scannen von Servern mit Internetzugang erleichtert, die durch die bekannt gewordenen Schwachstellen in Fortinet Appliances und Microsoft Exchange Servern verwundbar sind, um Web-Shells abzuwerfen und sie als Kanal zu nutzen, um sich seitlich zu bewegen und die Ransomware zu aktivieren.
Die genaue Art und Weise, wie die vollständige Verschlüsselung ausgelöst wird, ist jedoch noch unbekannt, so Secureworks, die einen Angriff auf eine ungenannte US-amerikanische philanthropische Organisation im Januar 2022 beschrieben.
Bei einem weiteren Angriff auf ein lokales US-Regierungsnetzwerk Mitte März 2022 wurden vermutlich Log4Shell-Schwachstellen in der VMware Horizon-Infrastruktur des Ziels ausgenutzt, um Aufklärungs- und Netzwerk-Scanning-Aktionen durchzuführen.
„Die Vorfälle im Januar und März sind typisch für die verschiedenen Arten von Angriffen, die Cobalt Mirage durchführt“, so das Fazit der Forscher.
„Während die Bedrohungsakteure anscheinend einigermaßen erfolgreich waren, um sich Zugang zu einer Vielzahl von Zielen zu verschaffen, scheint ihre Fähigkeit, diesen Zugang zu nutzen, um finanzielle Gewinne zu erzielen oder Informationen zu sammeln, begrenzt zu sein.