伊朗黑客组织Agrius“假冒”勒索团伙,掩盖网络间谍的真实目的

admin 2021年10月5日00:31:36评论78 views字数 1504阅读5分0秒阅读模式

更多全球网络安全资讯尽在邑安全

“雨刷”是一种恶意软件程序,旨在彻底销毁受感染设备上的数据,且数据无法恢复。

现在,Agrius在用该软件彻底销毁数据之前,会先假装对数据进行加密以勒索赎金。

SentinelOne研究人员表示,Agrius黑客组织在2020年针对以色列攻击时首次被发现。该组织将自己的定制工具库和现成的攻击性安全软件相组合,部署破坏性的“雨刷”以及此次发现的带有赎金软件功能的“雨刷”变体。

与Maze或Conti等勒索团伙不同,Agrius组织似乎并不单纯只抱有经济目的。根据观察,勒索软件的使用只是覆盖于其网络间谍和破坏攻击上的一层面纱。

研究人员表示,Agrius 故意将他们的活动掩盖为赎金软件攻击,而实际上却对以色列目标进行破坏性攻击。因此,研究人员怀疑该组织是由国家支持的。

伊朗黑客组织Agrius“假冒”勒索团伙,掩盖网络间谍的真实目的

Agrius黑客组织攻击手法

在攻击的第一阶段,Agrius会使用VPN访问属于目标受害者的面向公众的应用程序或服务,然后再通过受损的账户和软件漏洞尝试利用。

例如,FortiOS中被命名为CVE-2018-13379的漏洞,已被广泛用于针对以色列目标的利用尝试中。

如果利用成功,他们就会继续部署webshell,并使用公共网络安全工具进行凭证采集和网络移动,然后部署恶意软件有效载荷。

Agrius的工具库中包含着Deadwood(也被称为Detbosit),这是一种破坏性的“雨刷”恶意软件。该恶意软件与2019年针对沙特阿拉伯的攻击有关,被认为是APT33的作品。此外,APT33和APT34都被认为会使用包括Deadwood、Shamoon和ZeroCleare在内的雨刷。

在攻击过程中,Agrius还投放了一个名为IPsec Helper的自定义.NET后门,以保持持久性,并与命令和控制(C2)服务器建立连接。此外,该组织还将投放一个被称为Apostle的新型.NET漏洞。并且IPsec Helper和Apostle似乎是同一个开发者的作品。

最近,在针对阿拉伯联合酋长国的一个国有设施的攻击中,Apostle似乎已经被改进,以包含功能性的勒索软件组件。

然而,研究人员认为,Agrius在开发过程中关注的是勒索软件的破坏性功能,如加密文件的能力-,而不是谋取经济上的利益。

Agrius的攻击意图

研究人员说表示,他们更愿意相信新添加的加密功能是为了掩盖其实际意图——破坏受害者的数据。

并且,这一论点可以在Apostle的早期版本中得到证实。Apostle早期版本的部署是为了擦除数据,但可能由于恶意软件的逻辑缺陷而未能做到。这个有缺陷的执行导致了Deadwood雨刷的部署。当然,成功擦除数据并没有阻止攻击者继续索要赎金。

SentinelOne表示,目前还没有发现Agrius与其他APT组织的 "可靠 "联系,但由于Agrius对伊朗问题有浓重的兴趣,并且部署与伊朗制造的变种有联系的webshell,以及最先使用“雨刷”——一种早在2002年就与伊朗APT组织有关的攻击技术,这些证据都可以合理推测该组织可能来自伊朗。

原文来自: freebuf.com

原文链接: https://www.freebuf.com/articles/network/274518.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

伊朗黑客组织Agrius“假冒”勒索团伙,掩盖网络间谍的真实目的

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):伊朗黑客组织Agrius“假冒”勒索团伙,掩盖网络间谍的真实目的

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月5日00:31:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   伊朗黑客组织Agrius“假冒”勒索团伙,掩盖网络间谍的真实目的http://cn-sec.com/archives/381698.html

发表评论

匿名网友 填写信息