Иранската хакерска група Агриус се преструва, че криптира файлове за откуп, вместо това ги унищожава

Групата за хакерство Agrius премина от използване на чисто разрушителен зловреден софтуер за чистачки към комбинация от функционалност на чистачки и изкупвачи – и ще се преструва, че съхранява данни за откуп като последен етап в атаките.

В анализ от последните движения на групата на заплахата, изследователите на SentinelOne заявиха във вторник, че Агриус е бил забелязан за първи път в атаки срещу израелски цели през 2020 г.

Групата използва комбинация от свои собствени набори от инструменти и лесно достъпен софтуер за офанзивна защита, за да внедри или деструктивен чистач, или персонализиран вариант на чистачки, превърнат в рансъмуер.

Въпреки това, за разлика от рансъмуерните групи като Maze и Conti, не изглежда, че Agrius е мотивиран изцяло от пари – вместо това използването на ransomware е ново допълнение и допълнителен ефект към атаките, фокусирани върху кибершпионаж и унищожаване.

Освен това, при някои атаки, проследени от SentinelOne, когато е била разположена само чистачка, Агриус ще се преструва, че е откраднал и шифровал информация, за да изнудва жертвите – но тази информация вече е била унищожена от чистачката.

Агриус „умишлено маскира тяхната дейност като атака на рансъмуер“, казват изследователите, докато всъщност участва в разрушителни атаки срещу израелски цели.

Изследователите подозират, че групата е финансирана от държавата.

По време на първите етапи на атака, Agrius ще използва софтуер за виртуална частна мрежа (VPN), докато осъществява достъп до публични приложения или услуги, принадлежащи на предвидената жертва, преди да направи опит за експлойт, често чрез компрометирани акаунти и уязвимости на софтуера.

Например уязвимост във FortiOS, проследява се като CVE-2018-13379, е широко използван при опити за експлоатация срещу цели в Израел.

Ако успеят, тогава се използват уеб обвивки, публичните инструменти за киберсигурност се използват за събиране на идентификационни данни и движение на мрежата, а след това се разгръща полезен товар от зловреден софтуер.

Наборът от инструменти на Agrius включва Deadwood (известен също като Detbosit), разрушителен щам на зловреден софтуер за чистачки. Deadwood беше свързан с нападения срещу Саудитска Арабия през 2019г, смята се за дело на APT33.

И двете APT33 и APT34 са били свързани с използването на чистачки, включително Deadwood, Shamoon и ZeroCleare.

По време на атаки, Agrius също изпуска персонализиран .NET backdoor, наречен IPsec Helper, за постоянство и за създаване на връзка със сървър за управление и управление (C2). Освен това групата ще пусне нова .NET чистачка, наречена Апостол.

IPsec Helper и Apostle изглежда са дело на един и същ разработчик.

В неотдавнашна атака срещу държавно съоръжение в Обединените арабски емирства, Апостол изглежда е подобрен и модифициран, за да съдържа функционални компоненти за рансъмуер. Екипът обаче вярва, че по-скоро разрушителните елементи на рансъмуера – като способността за криптиране на файлове – отколкото финансовата примамка, върху която Агриус се фокусира по време на разработката.

“Ние вярваме, че внедряването на функцията за криптиране е там, за да прикрие действителното си намерение – унищожаване на данните на жертвите”, казват изследователите. „Тази теза се подкрепя от ранна версия на Apostol, че вътрешното име на нападателя е„ wiper-action “. Тази ранна версия е внедрена в опит да изтрие данни, но не успя да го направи вероятно поради логически недостатък в зловредния софтуер. недостатъчното изпълнение доведе до разполагането на чистачката Deadwood. Това, разбира се, не попречи на нападателите да поискат откуп. ”

SentinelOne казва, че не са установени „солидни“ връзки с други, установени групи за заплаха, но поради интересите на Агриус по ирански въпроси, разполагането на уеб черупки с връзки с ирански варианти и използването на чистачки на първо място – техника за атака, свързана с ирански APT още през 2002 г. – показва, че групата вероятно е от ирански произход.


? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com