微软警告伊朗磷黑客集团的勒索软件攻击

这家科技巨头正在以DEV-0270（又名Nemesis Kitten）的名义监控活动集群，该公司表示，它由一家以公共别名Secnerd和Lifeweb运营的公司运营，理由是该集团与这两个组织之间的基础设施重叠。

“DEV-0270利用高严重性漏洞的漏洞来访问设备，并以早期采用新披露的漏洞而闻名，”微软表示。

“DEV-0270还在整个攻击链中广泛使用离地二进制文件（LOLBIN）进行发现和凭据访问。这延伸到它滥用内置的BitLocker工具来加密受感染设备上的文件。

今年五月早些时候，伊朗行为者使用BitLocker和DiskCryptor进行机会主义勒索软件攻击，当时Secureworks披露了一组入侵，该入侵由其跟踪的威胁组织发起，其名称为钴海市蜃楼，与磷（又名钴幻觉）和TunnelVision有关。

众所周知，DEV-0270会扫描互联网，以查找易受微软交换服务器，福提尼特·福提盖特SSL-VPN和Apache Log4j中的缺陷影响的服务器和设备，以获取初始访问权限，然后进行网络侦察和凭据盗窃活动。

通过计划任务建立持久性，可以实现对受感染网络的访问。然后，DEV-0270 将权限升级到系统级别，允许它执行利用后操作，例如禁用 Microsoft Defender 防病毒软件以逃避检测、横向移动和文件加密。

“威胁组通常使用本机WMI，网络，CMD和PowerShell命令和注册表配置来维护隐身和操作安全性，”微软表示。“他们还安装并伪装他们的自定义二进制文件作为合法进程来隐藏他们的存在。

建议用户优先修补面向互联网的 Exchange 服务器以降低风险，限制 Fortinet SSL-VPN 设备等网络设备与互联网建立任意连接，强制实施强密码，并维护定期数据备份。