伊朗Cobalt Mirage网络攻击：警示和应对

关键要点

• 伊朗的Cobalt Mirage组织通过ProxyShell漏洞实施了针对多个服务器的勒索软件攻击。
• 漏洞包括CVE-2021-34473、CVE-2021-34523和CVE-2021-31207，敦促安全团队加强对恶意PowerShell活动的侦测。
• 研究表明此次攻击是机会主义的，而非针对特定组织，攻击者使用自定义工具和常用密码进行系统加密。
• 专家建议组织提高对PowerShell活动的监控，及时修补已知漏洞，防范潜在风险。

在维也纳国际原子能机构（IAEA）总部前，伊朗国旗的背景下，研究人员在周三发布了一份关于6月发生的勒索软件事件的报告。该报告表明，伊朗的CobaltMirage组织与 有关。此组织利用了ProxyShell漏洞，包括、和。这一事件凸显了安全团队在检测恶意PowerShell活动方面的提升需求。

在一篇中，Secureworks的研究人员指出，此次攻陷事件可能是机会主义的，而并非针对特定的组织或团体。研究人员也提到，CobaltMirage遵循了一贯的入侵模式，部署了多个网络shell和TunnelFish，一个自定义版本的Fast ReverseProxy（）。

在成功部署了网络shell和FRPC后，攻击者启用了DefaultAccount，并使用一个被认为是CobaltMirage常用的密码（P@ssw0rd1234）对多个服务器进行了BitLocker加密。

博文中提到，这次攻击所使用的战术、技术和程序（TTPs）在整体上并无特别之处，并且确实如预期的那样是机会主义的。Tanium的整合策略高级总监GeoffFisher指出，Secureworks的调查工作相当优秀，且对此次活动进行了详尽的追溯，以识别出这一伊朗威胁组织。

Fisher表示：“就像FSB一样，伊斯兰革命卫队也利用外包商来获取知识产权，从中赚取勒索软件的侧面收入。这种手法被许多团体验证并实践，但和许多电子犯罪团体一样，他们的操作会在手法上出现瑕疵，这就是导致很容易追溯到IRGC的原因。从日常安全操作的角度来看，这并不会带来超过正常的风险。操作人员应注意，对系统进行修补，因为所列的漏洞都是广为人知、陈旧且已被利用的，根据。”

数字影子的高级网络威胁情报分析师NicoleHoffman表示，威胁团体仍继续滥用诸如PowerShell等合法工具。Hoffman提到，行业已经超越了恶意PowerShell滥用的概念验证阶段。

“无论攻击者的技术水平如何，，”Hoffman说。“组织应确保具备监测恶意PowerShell活动的能力。此外，攻击者利用BitLocker进行加密的趋势似乎也在加大。”