微软表示,一个由伊朗政府撑腰的威胁组织一直在多起攻击中滥用BitLocker Windows功能,以加密受害者的系统,微软将它跟踪分析的这个组织编号为DEV-0270(又名Nemesis Kitten)。
微软的威胁情报团队发现,该威胁组织能够快速利用新披露的安全漏洞,并在攻击中广泛使用非本地二进制文件(LOLBIN)。
这与微软的发现结果:DEV-0270在使用BitLocker相一致,这项数据保护功能可在运行Windows 10、Windows 11或Windows Server 2016 及更高版本的设备上提供全卷加密服务。
微软安全威胁情报团队解释道:” 我们已经看到DEV-0270 使用setup.bat 命令来启用BitLocker 加密功能,这导致主机无法正常运行。对于工作站而言,该威胁组织使用了DiskCryptor,这是一种适用于 Windows 的开源全盘加密系统,允许对设备的整个硬盘进行加密。”
从初始访问到勒索函投放到被锁定系统上之间的赎金时间(TTR)大约为两天;据微软观察发现,DEV-0270在攻击得逞后要求受害者支付 8000 美元的赎金以换取解密密钥。
微软声称,这是由伊朗政府支持的Phosphorus网络间谍组织(又名Charming Kitten和APT35)下面的一个子组织,该网络间谍网络以攻击和收集与全球各地政府、非政府组织(NGO)和国防组织有关的知名受害者的情报而臭名昭著。
该组织寻找攻击目标通常是随机性的:威胁分子扫描整个互联网,查找易受攻击的服务器和设备下手,从而使拥有易受攻击且容易被发现的服务器和设备的组织容易受到这些攻击。[阅读原文]