微軟表示，一個由伊朗政府撐腰的威脅組織一直在多起攻擊中濫用BitLocker Windows功能，以加密受害者的系統(tǒng)，微軟將它跟蹤分析的這個組織編號為DEV-0270（又名Nemesis Kitten）。

微軟的威脅情報團隊發(fā)現(xiàn)，該威脅組織能夠快速利用新披露的安全漏洞，并在攻擊中廣泛使用非本地二進制文件（LOLBIN）。

這與微軟的發(fā)現(xiàn)結(jié)果：DEV-0270在使用 BitLocker相一致，這項數(shù)據(jù)保護功能可在運行Windows 10、Windows 11或Windows Server 2016及更高版本的設(shè)備上提供全卷加密服務(wù)。

微軟安全威脅情報團隊解釋道：“我們已經(jīng)看到DEV-0270使用setup.bat命令來啟用BitLocker加密功能，這導(dǎo)致主機無法正常運行。對于工作站而言，該威脅組織使用了DiskCryptor，這是一種適用于Windows的開源全盤加密系統(tǒng)，允許對設(shè)備的整個硬盤進行加密。”

從初始訪問到勒索函投放到被鎖定系統(tǒng)上之間的贖金時間（TTR）大約為兩天；據(jù)微軟觀察發(fā)現(xiàn)，DEV-0270在攻擊得逞后要求受害者支付8000美元的贖金以換取解密密鑰。

圖1. 典型的DEV-0270攻擊鏈（來源：微軟）

賺外快，牟取私利

微軟聲稱，這是由伊朗政府支持的Phosphorus網(wǎng)絡(luò)間諜組織（又名Charming Kitten和APT35）下面的一個子組織，該網(wǎng)絡(luò)間諜網(wǎng)絡(luò)以攻擊和收集與全球各地政府、非政府組織（NGO）和國防組織有關(guān)的知名受害者的情報而臭名昭著。

據(jù)微軟的低置信度評估顯示，DEV-0270似乎在賺外快，“為了牟取私利”。

微軟表示，該威脅組織基于“大量重疊的攻擊基礎(chǔ)設(shè)施”，由一家有兩個別名：Secnerd（secnerd[.]ir）和Lifeweb（lifeweb[.]it）的伊朗公司運營。

微軟補充道：“這些組織還與位于伊朗卡拉季的Najee Technology Hooshmand有關(guān)?！?/p>

該組織尋找攻擊目標(biāo)通常是隨機性的：威脅分子掃描整個互聯(lián)網(wǎng)，查找易受攻擊的服務(wù)器和設(shè)備下手，從而使擁有易受攻擊且容易被發(fā)現(xiàn)的服務(wù)器和設(shè)備的組織容易受到這些攻擊。

由于DEV-0270的許多攻擊都利用了Exchange（ProxyLogon）或Fortinet（CVE-2018-13379） 中的已知安全漏洞，因此建議公司企業(yè)盡快給面向互聯(lián)網(wǎng)的服務(wù)器打上補丁，以阻止企圖利用漏洞的活動和隨后的勒索軟件攻擊。

SecureWorks公司的反威脅部門（CTU）在今年5月曾報告了與Secureworks跟蹤分析的編號為COBALT MIRAGE的威脅組織有關(guān)的類似惡意活動，該威脅組織使用了與Phosphorus APT組織重疊的攻擊基礎(chǔ)設(shè)施。

本文翻譯自：https://www.bleepingcomputer.com/news/microsoft/microsoft-iranian-hackers-encrypt-windows-systems-using-bitlocker/如若轉(zhuǎn)載，請注明原文地址。