Güvenlik uzmanları İsrail, ABD, Avrupa ve Avustralya’daki kuruluşları hedef alan bir dizi fidye saldırısını Cobalt Illusion isimli İranlı bir fidye saldırı grubuna bağladı[1]. Cobalt Mirage ismiyle izlenen grup APT35, Magic Hound, NewsBeef, Newscaster, Phosphorus ve TA453 olarak da isimlendiriliyor. Gelişmiş kalıcı tehdit (APT) aktörü, aktivistleri, devlet kuruluşlarını, gazetecileri ve diğer çeşitli kuruluşları hedef almasıyla tanınıyor.
Kasım 2021’de ABD, İngiltere ve Avustralya’daki devlet kurumları, Fortinet FortiOS güvenlik açıklarından ve bir Microsoft Exchange ProxyShell hatasından yararlanarak kritik altyapıyı ve diğer kuruluşları hedef alan İran devlet destekli saldırılar konusunda uyardı. Aralık 2021’de ise Microsoft, Charming Kitten’ın Log4j güvenlik açığından yararlanmak, bunları değiştirmek ve yeni saldırılarda kullanmak için çalıştığını açıkladı. Ocak 2022’de APT, yeni bir PowerShell arka kapısı kullanırken gözlemlendi.
Siber casusluk grubunu Cobalt Mirage olarak izleyen Secureworks, bugün grubun fidye yazılımının konuşlandırılması da dahil olmak üzere finansal olarak motive edilmiş saldırılara yöneldiğini bildirdi. Grubun, finansal kazanç için BitLocker ve DiskCryptor gibi meşru araçların kullanımını içeren fidye yazılımı saldırılarıyla ilgili olan iki farklı izinsiz giriş grubu olduğu söyleniyor.
İkinci saldırı grubu, erişimi güvence altına almak ve istihbarat toplamak ve aynı zamanda belirli durumlarda fidye yazılımı dağıtmak gibi görevler üstlenirken, birinci grup saldırıyı düzenliyor.
Mart 2022’de, aynı tehdit aktörünün yerel bir ABD hükümet ağına saldırdığı gözlemlendi, ancak fidye yazılımı dağıtılmadı. Bunun yerine grup, verileri toplamaya ve ücretsiz çevrimiçi hizmetleri kullanarak bu verileri sızdırmaya odaklandı.
Güvenlik araştırmacıları, grubun dünya çapında çok sayıda hedefe saldırmayı başarmasına rağmen, “finansal kazanç veya istihbarat toplama için bu erişimden yararlanma yeteneklerinin sınırlı göründüğünü” düşünüyor. Ancak Secureworks, fidye yazılımı operasyonları için halka açık araçların kullanılmasının, grubun devam eden bir tehdit olmaya devam ettiğini gösterdiği sonucuna varıyor.
[1] COBALT MIRAGE Conducts Ransomware Operations in U.S.
Kaynak : 