Microsoft ha pubblicato un post dettagliato per descrivere le tecniche utilizzate da due gruppi di cybercriminali (Mercury e DEV-1084) per colpire ambienti on-premises e cloud. Sebbene le attività sembrino quelle di un ransomware, l’obiettivo è interrompere i servizi e distruggere le risorse cloud.
Attività, tool e tecniche
Mercury, gruppo legato al governo iraniano, effettua l’accesso iniziale sfruttando le vulnerabilità delle applicazioni. Successivamente lascia campo libero al gruppo DEV-1084 che completa il compito con furto di credenziali e distruzione delle risorse.
L’ingresso iniziale nell’ambiente ibrido avviene in diversi modi, ad esempio sfruttando la nota vulnerabilità della libreria Apache Log4j. Per mantenere la persistenza vengono installate web shell e backdoor, usati tool di accesso remoto (RPort, Ligolo, eHorus), rubate credenziali e creati account con privilegi di amministratore.
Successivamente viene effettuata una scansione della rete per trovare gli altri dispositivi. La comunicazione con i server C2 (command and control) avviene con Ligolo o OpenSSH. Sui sistemi on-premises viene distribuito il ransomware DarkBit, mentre sui sistemi cloud (Microsoft Azure) viene eseguita l’attività distruttiva, ovvero la cancellazione di macchine virtuali, database e storage.
Al termine, i cybercriminali inviano una serie di email ad utenti interni o esterni attraverso un account compromesso. Microsoft fornisce alcuni consigli per mitigare gli attacchi. I malware, tra cui backdoor e ramsomware, vengono rilevati e bloccati da Microsoft Defender Antivirus.