Agrius黑客组织已经从单纯地使用“雨刷”恶意软件转别为将“雨刷”与赎金软件功能相结合的方式。
“雨刷”是一种恶意软件程序,旨在彻底销毁受感染设备上的数据,且数据无法恢复。
现在,Agrius在用该软件彻底销毁数据之前,会先假装对数据进行加密以勒索赎金。
SentinelOne研究人员表示,Agrius黑客组织在2020年针对以色列攻击时首次被发现。该组织将自己的定制工具库和现成的攻击性安全软件相组合,部署破坏性的“雨刷”以及此次发现的带有赎金软件功能的“雨刷”变体。
与Maze或Conti等勒索团伙不同,Agrius组织似乎并不单纯只抱有经济目的。根据观察,勒索软件的使用只是覆盖于其网络间谍和破坏攻击上的一层面纱。
研究人员表示,Agrius 故意将他们的活动掩盖为赎金软件攻击,而实际上却对以色列目标进行破坏性攻击。因此,研究人员怀疑该组织是由国家支持的。
Agrius黑客组织攻击手法
在攻击的第一阶段,Agrius会使用虚拟专用网访问属于目标受害者的面向公众的应用程序或服务,然后再通过受损的账户和软件漏洞尝试利用。
例如,FortiOS中被命名为CVE-2018-13379的漏洞,已被广泛用于针对以色列目标的利用尝试中。
如果利用成功,他们就会继续部署webshell,并使用公共网络安全工具进行凭证采集和网络移动,然后部署恶意软件有效载荷。
Agrius的工具库中包含着Deadwood(也被称为Detbosit),这是一种破坏性的“雨刷”恶意软件。该恶意软件与2019年针对沙特阿拉伯的攻击有关,被认为是APT33的作品。此外,APT33和APT34都被认为会使用包括Deadwood、Shamoon和ZeroCleare在内的雨刷。
在攻击过程中,Agrius还投放了一个名为IPsec Helper的自定义.NET后门,以保持持久性,并与命令和控制(C2)服务器建立连接。此外,该组织还将投放一个被称为Apostle的新型.NET漏洞。并且IPsec Helper和Apostle似乎是同一个开发者的作品。
最近,在针对阿拉伯联合酋长国的一个国有设施的攻击中,Apostle似乎已经被改进,以包含功能性的勒索软件组件。
然而,研究人员认为,Agrius在开发过程中关注的是勒索软件的破坏性功能,如加密文件的能力-,而不是谋取经济上的利益。
Agrius的攻击意图
研究人员说表示,他们更愿意相信新添加的加密功能是为了掩盖其实际意图——破坏受害者的数据。
并且,这一论点可以在Apostle的早期版本中得到证实。Apostle早期版本的部署是为了擦除数据,但可能由于恶意软件的逻辑缺陷而未能做到。这个有缺陷的执行导致了Deadwood雨刷的部署。当然,成功擦除数据并没有阻止攻击者继续索要赎金。
SentinelOne表示,目前还没有发现Agrius与其他APT组织的 "可靠 "联系,但由于Agrius对伊朗问题有浓重的兴趣,并且部署与伊朗制造的变种有联系的webshell,以及最先使用“雨刷”——一种早在2002年就与伊朗APT组织有关的攻击技术,这些证据都可以合理推测该组织可能来自伊朗。
来源:zdnet