Ιρανική hacking ομάδα στοχεύει το Ισραήλ με wiper που «μεταμφιέζεται» σε ransomware

Η ιρανική



hacking ομάδα


«Agrius»

έχει μεταβεί από τη

χρήση

καθαρά καταστροφικού wiper malware σε έναν

συνδυασμό λειτουργιών wiper και

ransomware


– και

προσποιείται ότι κρατά



δεδομένα

για να λάβει

λύτρα


ως τελικό στάδιο των επιθέσεών της. Σε μια ανάλυση των τελευταίων κινήσεων της ομάδας, ερευνητές της

SentinelOne

δήλωσαν

στις 25 Μαΐου

ότι η Agrius

εντοπίστηκε για πρώτη φορά σε



επιθέσεις

εναντίον στόχων στο

Ισραήλ

το 2020

.

Η ομάδα χρησιμοποιεί έναν συνδυασμό από τα δικά της προσαρμοσμένα σετ εργαλείων και εύκολα διαθέσιμα «επιθετικά» software

ασφαλείας

,

για να αναπτύξει είτε ένα καταστροφικό wiper είτε μια προσαρμοσμένη wiper-turn-

ransomware



παραλλαγή

.

Διαβάστε επίσης:

Έξι

ransomware

συμμορίες έχουν «χτυπήσει» 292 οργανισμούς το 2021!

Ωστόσο,

σε αντίθεση με άλλες

ransomware


ομάδες


– όπως αυτές των Maze και Conti – η Agrius

δεν φαίνεται να έχει καθαρά οικονομικά κίνητρα

– αντ’αυτού, η

χρήση

του

ransomware

είναι μια νέα προσθήκη σε



επιθέσεις

που εστιάζουν στην κυβερνοκατασκοπεία και την καταστροφή.

Επιπλέον, σε ορισμένες



επιθέσεις

που ανακαλύφθηκαν από τη SentinelOne όταν αναπτύχθηκε μόνο ένα wiper, η Agrius

ισχυριζόταν ότι είχε κλέψει και κρυπτογραφήσει πληροφορίες για να εκβιάσει τα

θύματα

, αλλά στην πραγματικότητα αυτές οι πληροφορίες είχαν ήδη καταστραφεί από το wiper

.

Η Agrius

«σκόπιμα έκανε τη δραστηριότητά της να φαίνεται σαν



ransomware




επίθεση

»

, ενώ στην πραγματικότητα διενεργούσε καταστροφικές



επιθέσεις

εναντίον Ισραηλινών στόχων, επεσήμαναν οι ερευνητές.

Οι ερευνητές υποψιάζονται επίσης ότι η εν λόγω



hacking ομάδα

χρηματοδοτείται από το κράτος.

Δείτε ακόμη:



Microsoft: Μαζική



εκστρατεία malware

διανέμει



fake


ransomware

!

Κατά τη διάρκεια των πρώτων σταδίων μιας επίθεσης

, η Agrius χρησιμοποιεί

VPN software

, ενώ έχει πρόσβαση σε public-facing



εφαρμογές

ή



υπηρεσίες

που ανήκουν στο εκάστοτε θύμα, προτού επιχειρήσει



εκμετάλλευση

, συχνά μέσω παραβιασμένων λογαριασμών και software ευπαθειών.

Για παράδειγμα

, μια



ευπάθεια

στο FortiOS, που παρακολουθείται ως

CVE-2018-13379

, έχει χρησιμοποιηθεί ευρέως σε απόπειρες εκμετάλλευσης εναντίον στόχων στο

Ισραήλ

.

Σε περίπτωση επιτυχίας, αναπτύσσονται web shells, χρησιμοποιούνται δημόσια εργαλεία κυβερνοασφάλειας για τη συλλογή

credentials

και την

κίνηση

δικτύου και στη συνέχεια αναπτύσσονται malware payloads.

Το κιτ εργαλείων της Agrius περιλαμβάνει το

Deadwood (γνωστό κι ως Detbosit)

, ένα καταστροφικό



στέλεχος

malware.

Το Deadwood συνδέθηκε με



επιθέσεις

εναντίον της Σαουδικής Αραβίας κατά τη διάρκεια του 2019

, που θεωρείτο ότι ήταν έργο της

APT33

.

Τόσο η APT33 όσο και η APT34 έχουν συνδεθεί με τη

χρήση

wipers, συμπεριλαμβανομένων των Deadwood, Shamoon και ZeroCleare

.

Πρόταση:



Teabot: Το νέο Android malware στοχεύει



τράπεζες

στην

Ευρώπη

!

Κατά τη διάρκεια των επιθέσεων, η Agrius «έριξε» επίσης ένα προσαρμοσμένο

.NET backdoor

που ονομάζεται

IPsec Helper

για επιμονή και για τη



δημιουργία

σύνδεσης με C2 server. Επιπλέον, η ομάδα «ρίχνει» το

Apostle

.

Το IPsec Helper και Apostle φαίνεται να είναι έργα του ίδιου προγραμματιστή.

Σε μια πρόσφατη



επίθεση

εναντίον μιας κρατικής εγκατάστασης στα Ηνωμένα Αραβικά Εμιράτα, το Apostle φάνηκε να έχει βελτιωθεί και τροποποιηθεί ώστε να περιέχει λειτουργικά στοιχεία

ransomware

. Ωστόσο, οι ερευνητές πιστεύουν ότι η Agrius εστιάζει στα καταστρεπτικά στοιχεία του

ransomware

– όπως η ικανότητα κρυπτογράφησης αρχείων – και όχι το οικονομικό θέλγητρο, κατά την



ανάπτυξη

.

Η SentinelOne ανέφερε ότι δεν έχουν γίνει «σταθερές» συνδέσεις με άλλες, καθιερωμένες



hacking


ομάδες

, αλλά λόγω των συμφερόντων της Agrius σε ιρανικά ζητήματα, η



ανάπτυξη

web shells που συνδέονται με παραλλαγές που κατασκευάζονται από το Ιράν, καθώς και η

χρήση


wipers

(

τεχνική επίθεσης που συνδέεται με ιρανικές APT

ομάδες

ήδη από το 2002

), αποτελούν ενδείξεις ότι η ομάδα πιθανώς να είναι ιρανικής καταγωγής.

Πηγή πληροφοριών: zdnet.com