Microsoft, DEV-0270 (diğer adıyla Nemesis Kitten) olarak izlediği İran devlet destekli bir tehdit grubunun kurbanların sistemlerini şifrelemek için BitLocker Windows özelliğini saldırılarda kötüye kullandığını söylüyor.
Redmond’un tehdit istihbarat ekipleri, grubun yeni açıklanan güvenlik açıklarından yararlanmak için hızlı olduğunu ve saldırılarda karada yaşayan ikili dosyaları (LOLBIN’ler) kapsamlı bir şekilde kullandığını buldu.
Bu, Microsoft’un DEV-0270’in Windows 10, Windows 11 veya Windows Server 2016 ve üstünü çalıştıran cihazlarda tam birim şifrelemesi sağlayan bir veri koruma özelliği olan BitLocker’ı kullandığına ilişkin bulgularıyla uyumludur.
Microsoft Güvenlik Tehdit İstihbaratı, “DEV-0270, ana bilgisayarların çalışamaz hale gelmesine neden olan BitLocker şifrelemesini etkinleştirmek için setup.bat komutlarını kullanırken görüldü” açıkladı.
“Grup, iş istasyonları için, bir cihazın tüm sabit sürücüsünün şifrelenmesine izin veren, Windows için açık kaynaklı bir tam disk şifreleme sistemi olan DiskCryptor’ı kullanıyor.”
İlk erişim ile kilitli sistemlere dağıtılan fidye notu arasındaki fidye süresi (TTR) yaklaşık iki gündü ve DEV-0270’in başarılı saldırıların ardından kurbanların şifre çözme anahtarları için 8.000 dolar ödemesini talep ettiği gözlemlendi.
Kişisel kazanç için ay ışığı
Redmond diyor ki bu bir alt grup İran destekli Fosfor Siber casusluk grubu (aka Charming Kitten ve APT35), dünya çapında hükümetlerle, STK’larla ve savunma örgütleriyle bağlantılı yüksek profilli kurbanlardan istihbarat toplaması ve hedef almasıyla tanınır.
Microsoft’un düşük güven değerlendirmesine göre, DEV-0270 “kişisel veya şirkete özel gelir üretimi için” önemli bir rol oynuyor gibi görünüyor.
Microsoft, “çok sayıda altyapı çakışmasına” dayanarak, grubun iki takma adla bilinen İranlı bir şirket tarafından işletildiğini söylüyor: Secnerd (secnerd[.]ir) ve Lifeweb (lifeweb[.]BT).
Redmond, “Bu kuruluşlar aynı zamanda İran’ın Karaj kentinde bulunan Najee Technology Hooshmand ile de bağlantılı” dedi.
“Grup genellikle hedeflemede fırsatçıdır: aktör, savunmasız sunucuları ve cihazları bulmak için interneti tarar, savunmasız ve keşfedilebilir sunuculara ve cihazlara sahip kuruluşları bu saldırılara karşı duyarlı hale getirir.”
DEV-0270’in saldırılarının çoğu, Exchange (ProxyLogon) veya Fortinet’teki (CVE-2018-13379) bilinen güvenlik açıklarından yararlandığından, şirketlere, istismar girişimlerini ve müteakip fidye yazılımı saldırılarını engellemek için İnternete bakan sunucularına yama yapmaları önerilir.
Benzer kötü amaçlı etkinlik Secureworks, COBALT MIRAGE olarak takip ettiği bir tehdit grubuna bağlı (Fosfor APT grubuyla örtüşen öğelerle birlikte) SecureWorks’ün Karşı Tehdit Birimi (CTU) tarafından Mayıs ayında rapor edildi.