Il gigante tecnologico, che sta monitorando il cluster di attività sotto il nome di DEV-0270 (alias Nemesis Kitten), ha dichiarato che è gestito da una società che opera sotto gli pseudonimi pubblici di Secnerd e Lifeweb, citando le sovrapposizioni infrastrutturali tra il gruppo e le due organizzazioni. “DEV-0270 sfrutta gli exploit delle vulnerabilità ad alta gravità per ottenere l’accesso ai dispositivi ed è noto per l’adozione precoce delle vulnerabilità appena divulgate”, ha dichiarato Microsoft.
“DEV-0270 utilizza anche in modo estensivo i binari living-off-the-land (LOLBIN) lungo tutta la catena di attacco per la scoperta e l’accesso alle credenziali. Questo si estende all’abuso dello strumento BitLocker integrato per crittografare i file sui dispositivi compromessi”. L’uso di BitLocker e DiskCryptor da parte di attori iraniani per attacchi ransomware opportunistici è emerso all’inizio di maggio, quando Secureworks ha rivelato una serie di intrusioni effettuate da un gruppo di minacce che segue il nome di Cobalt Mirage e che ha legami con Phosphorus (alias Cobalt Illusion) e TunnelVision.
Attacchi ransomware
DEV-0270 è noto per la scansione di Internet alla ricerca di server e dispositivi sensibili alle falle di Microsoft Exchange Server, Fortinet FortiGate SSL-VPN e Apache Log4j per ottenere l’accesso iniziale, seguito da attività di ricognizione della rete e furto di credenziali.
L’accesso alla rete compromessa viene ottenuto stabilendo la persistenza tramite un’attività pianificata. DEV-0270 esegue quindi l’escalation dei privilegi a livello di sistema, consentendo di condurre azioni post-exploitation come la disabilitazione di Microsoft Defender Antivirus per eludere il rilevamento, il movimento laterale e la crittografia dei file. “Il gruppo di minacce utilizza comunemente comandi nativi WMI, net, CMD e PowerShell e configurazioni del registro di sistema per mantenere la sicurezza stealth e operativa”, ha dichiarato Microsoft. “Inoltre installano e mascherano i loro binari personalizzati come processi legittimi per nascondere la loro presenza”. Si raccomanda agli utenti di dare priorità alle patch dei server Exchange rivolti a Internet per ridurre il rischio, di limitare le apparecchiature di rete come i dispositivi Fortinet SSL-VPN dall’effettuare connessioni arbitrarie a Internet, di applicare password forti e di mantenere regolari backup dei dati.
