伊朗黑客組織Agrius“假冒”勒索團伙,掩蓋網絡間諜的真實目的
責編:gltian |2021-05-27 13:57:50Agrius黑客組織已經從單純地使用“雨刷”惡意軟件轉別為將“雨刷”與贖金軟件功能相結合的方式。
“雨刷”是一種惡意軟件程序,旨在徹底銷毀受感染設備上的數據,且數據無法恢復。
現在,Agrius在用該軟件徹底銷毀數據之前,會先假裝對數據進行加密以勒索贖金。
SentinelOne研究人員表示,Agrius黑客組織在2020年針對以色列攻擊時首次被發現。該組織將自己的定制工具庫和現成的攻擊性安全軟件相組合,部署破壞性的“雨刷”以及此次發現的帶有贖金軟件功能的“雨刷”變體。
與Maze或Conti等勒索團伙不同,Agrius組織似乎并不單純只抱有經濟目的。根據觀察,勒索軟件的使用只是覆蓋于其網絡間諜和破壞攻擊上的一層面紗。
研究人員表示,Agrius 故意將他們的活動掩蓋為贖金軟件攻擊,而實際上卻對以色列目標進行破壞性攻擊。因此,研究人員懷疑該組織是由國家支持的。
Agrius黑客組織攻擊手法
在攻擊的第一階段,Agrius會使用VPN訪問屬于目標受害者的面向公眾的應用程序或服務,然后再通過受損的賬戶和軟件漏洞嘗試利用。
例如,FortiOS中被命名為CVE-2018-13379的漏洞,已被廣泛用于針對以色列目標的利用嘗試中。
如果利用成功,他們就會繼續部署webshell,并使用公共網絡安全工具進行憑證采集和網絡移動,然后部署惡意軟件有效載荷。
Agrius的工具庫中包含著Deadwood(也被稱為Detbosit),這是一種破壞性的“雨刷”惡意軟件。該惡意軟件與2019年針對沙特阿拉伯的攻擊有關,被認為是APT33的作品。此外,APT33和APT34都被認為會使用包括Deadwood、Shamoon和ZeroCleare在內的雨刷。
在攻擊過程中,Agrius還投放了一個名為IPsec Helper的自定義.NET后門,以保持持久性,并與命令和控制(C2)服務器建立連接。此外,該組織還將投放一個被稱為Apostle的新型.NET漏洞。并且IPsec Helper和Apostle似乎是同一個開發者的作品。
最近,在針對阿拉伯聯合酋長國的一個國有設施的攻擊中,Apostle似乎已經被改進,以包含功能性的勒索軟件組件。
然而,研究人員認為,Agrius在開發過程中關注的是勒索軟件的破壞性功能,如加密文件的能力-,而不是謀取經濟上的利益。
Agrius的攻擊意圖
研究人員說表示,他們更愿意相信新添加的加密功能是為了掩蓋其實際意圖——破壞受害者的數據。
并且,這一論點可以在Apostle的早期版本中得到證實。Apostle早期版本的部署是為了擦除數據,但可能由于惡意軟件的邏輯缺陷而未能做到。這個有缺陷的執行導致了Deadwood雨刷的部署。當然,成功擦除數據并沒有阻止攻擊者繼續索要贖金。
SentinelOne表示,目前還沒有發現Agrius與其他APT組織的 “可靠 “聯系,但由于Agrius對伊朗問題有濃重的興趣,并且部署與伊朗制造的變種有聯系的webshell,以及最先使用“雨刷”——一種早在2002年就與伊朗APT組織有關的攻擊技術,這些證據都可以合理推測該組織可能來自伊朗。
來源:zdnet
來自:FreeBuf.COM