قام قسم استخبارات التهديدات في Microsoft أمس الأربعاء بتقييم أن مجموعة فرعية من ممثل التهديد الإيراني تقوم بهجمات برامج الفدية "كشكل من أشكال العمل الإضافي" لتحقيق مكاسب شخصية.
قال عملاق التكنولوجيا، الذي يراقب مجموعة الأنشطة تحت إسم DEV-0270 (المعروف أيضًا باسم Nemesis Kitten)، إنه تديره شركة تعمل تحت الأسماء المستعارة العامة Secnerd و Lifeweb، مستشهدة بتداخلات البنية التحتية بين المجموعة والمنظمتين.
وقالت مايكروسوفت: "يستفيد DEV-0270 من عمليات الاستغلال للثغرات الأمنية عالية الخطورة للوصول إلى الأجهزة وهو معروف بالتبني المبكر للثغرات الأمنية التي تم الكشف عنها حديثًا".
يُعرف DEV-0270 بمسح الإنترنت للعثور على الخوادم والأجهزة المعرضة للعيوب في Microsoft Exchange Server و Fortinet FortiGate SSL-VPN و Apache Log4j للحصول على وصول أولي ، متبوعًا باستطلاع الشبكة وأنشطة سرقة بيانات الاعتماد.
يتم الوصول إلى الشبكة المعرضة للخطر من خلال إنشاء المثابرة عبر مهمة مجدولة. ثم يقوم DEV-0270 بتصعيد الامتيازات إلى مستوى النظام، مما يسمح له بتنفيذ إجراءات ما بعد الاستغلال مثل تعطيل Microsoft Defender Antivirus لتجنب الاكتشاف والحركة الجانبية وتشفير الملفات.
وقالت مايكروسوفت: "تستخدم مجموعة التهديد عادة أوامر WMI و net و CMD و PowerShell وتكوينات التسجيل الأصلية للحفاظ على الأمن التشغيلي والتخفي". "يقومون أيضًا بتثبيت وتنكر ثنائياتهم المخصصة كعمليات شرعية لإخفاء وجودهم."