微軟表示，一個(gè)由伊朗政府撐腰的威脅組織一直在多起攻擊中濫用BitLocker Windows功能，以加密受害者的系統(tǒng)，微軟將它跟蹤分析的這個(gè)組織編號(hào)為DEV-0270（又名Nemesis Kitten）。

微軟的威脅情報(bào)團(tuán)隊(duì)發(fā)現(xiàn)，該威脅組織能夠快速利用新披露的安全漏洞，并在攻擊中廣泛使用非本地二進(jìn)制文件（LOLBIN）。

這與微軟的發(fā)現(xiàn)結(jié)果：DEV-0270在使用 BitLocker相一致，這項(xiàng)數(shù)據(jù)保護(hù)功能可在運(yùn)行Windows 10、Windows 11或Windows Server 2016及更高版本的設(shè)備上提供全卷加密服務(wù)。

微軟安全威脅情報(bào)團(tuán)隊(duì)解釋道：“我們已經(jīng)看到DEV-0270使用setup.bat命令來(lái)啟用BitLocker加密功能，這導(dǎo)致主機(jī)無(wú)法正常運(yùn)行。對(duì)于工作站而言，該威脅組織使用了DiskCryptor，這是一種適用于Windows的開(kāi)源全盤加密系統(tǒng)，允許對(duì)設(shè)備的整個(gè)硬盤進(jìn)行加密?！?/p>

從初始訪問(wèn)到勒索函投放到被鎖定系統(tǒng)上之間的贖金時(shí)間（TTR）大約為兩天；據(jù)微軟觀察發(fā)現(xiàn)，DEV-0270在攻擊得逞后要求受害者支付8000美元的贖金以換取解密密鑰。

圖1. 典型的DEV-0270攻擊鏈（來(lái)源：微軟）

賺外快，牟取私利

微軟聲稱，這是由伊朗政府支持的Phosphorus網(wǎng)絡(luò)間諜組織（又名Charming Kitten和APT35）下面的一個(gè)子組織，該網(wǎng)絡(luò)間諜網(wǎng)絡(luò)以攻擊和收集與全球各地政府、非政府組織（NGO）和國(guó)防組織有關(guān)的知名受害者的情報(bào)而臭名昭著。

據(jù)微軟的低置信度評(píng)估顯示，DEV-0270似乎在賺外快，“為了牟取私利”。

微軟表示，該威脅組織基于“大量重疊的攻擊基礎(chǔ)設(shè)施”，由一家有兩個(gè)別名：Secnerd（secnerd[.]ir）和Lifeweb（lifeweb[.]it）的伊朗公司運(yùn)營(yíng)。

微軟補(bǔ)充道：“這些組織還與位于伊朗卡拉季的Najee Technology Hooshmand有關(guān)?！?/p>

該組織尋找攻擊目標(biāo)通常是隨機(jī)性的：威脅分子掃描整個(gè)互聯(lián)網(wǎng)，查找易受攻擊的服務(wù)器和設(shè)備下手，從而使擁有易受攻擊且容易被發(fā)現(xiàn)的服務(wù)器和設(shè)備的組織容易受到這些攻擊。

由于DEV-0270的許多攻擊都利用了Exchange（ProxyLogon）或Fortinet（CVE-2018-13379） 中的已知安全漏洞，因此建議公司企業(yè)盡快給面向互聯(lián)網(wǎng)的服務(wù)器打上補(bǔ)丁，以阻止企圖利用漏洞的活動(dòng)和隨后的勒索軟件攻擊。

SecureWorks公司的反威脅部門（CTU）在今年5月曾報(bào)告了與Secureworks跟蹤分析的編號(hào)為COBALT MIRAGE的威脅組織有關(guān)的類似惡意活動(dòng)，該威脅組織使用了與Phosphorus APT組織重疊的攻擊基礎(chǔ)設(shè)施。

本文翻譯自：https://www.bleepingcomputer.com/news/microsoft/microsoft-iranian-hackers-encrypt-windows-systems-using-bitlocker/如若轉(zhuǎn)載，請(qǐng)注明原文地址。