Agrius黑客组织已经从单纯地使用“雨刷”恶意软件转别为将“雨刷”与赎金软件功能相结合的方式。
“雨刷”是一种恶意软件程序,旨在彻底销毁受感染设备上的数据,且数据无法恢复。
现在,Agrius在用该软件彻底销毁数据之前,会先假装对数据进行加密以勒索赎金。
SentinelOne研究人员表示,Agrius黑客组织在2020年针对以色列攻击时首次被发现。该组织将自己的定制工具库和现成的攻击性安全软件相组合,部署破坏性的“雨刷”以及此次发现的带有赎金软件功能的“雨刷”变体。
与Maze或Conti等勒索团伙不同,Agrius组织似乎并不单纯只抱有经济目的。根据观察,勒索软件的使用只是覆盖于其网络间谍和破坏攻击上的一层面纱。
研究人员表示,Agrius 故意将他们的活动掩盖为赎金软件攻击,而实际上却对以色列目标进行破坏性攻击。因此,研究人员怀疑该组织是由国家支持的。
Agrius黑客组织攻击手法
在攻击的第一阶段,Agrius会使用VPN访问属于目标受害者的面向公众的应用程序或服务,然后再通过受损的账户和软件漏洞尝试利用。
例如,FortiOS中被命名为CVE-2018-13379的漏洞,已被广泛用于针对以色列目标的利用尝试中。
如果利用成功,他们就会继续部署webshell,并使用公共网络安全工具进行凭证采集和网络移动,然后部署恶意软件有效载荷。
Agrius的工具库中包含着Deadwood(也被称为Detbosit),这是一种破坏性的“雨刷”恶意软件。该恶意软件与2019年针对沙特阿拉伯的攻击有关,被认为是APT33的作品。此外,APT33和APT34都被认为会使用包括Deadwood、Shamoon和ZeroCleare在内的雨刷。
在攻击过程中,Agrius还投放了一个名为IPsec Helper的自定义.NET后门,以保持持久性,并与命令和控制(C2)服务器建立连接。此外,该组织还将投放一个被称为Apostle的新型.NET漏洞。并且IPsec Helper和Apostle似乎是同一个开发者的作品。
最近,在针对阿拉伯联合酋长国的一个国有设施的攻击中,Apostle似乎已经被改进,以包含功能性的勒索软件组件。
然而,研究人员认为,Agrius在开发过程中关注的是勒索软件的破坏性功能,如加密文件的能力-,而不是谋取经济上的利益。
Agrius的攻击意图
研究人员说表示,他们更愿意相信新添加的加密功能是为了掩盖其实际意图——破坏受害者的数据。
并且,这一论点可以在Apostle的早期版本中得到证实。Apostle早期版本的部署是为了擦除数据,但可能由于恶意软件的逻辑缺陷而未能做到。这个有缺陷的执行导致了Deadwood雨刷的部署。当然,成功擦除数据并没有阻止攻击者继续索要赎金。
SentinelOne表示,目前还没有发现Agrius与其他APT组织的 "可靠 "联系,但由于Agrius对伊朗问题有浓重的兴趣,并且部署与伊朗制造的变种有联系的webshell,以及最先使用“雨刷”——一种早在2002年就与伊朗APT组织有关的攻击技术,这些证据都可以合理推测该组织可能来自伊朗。
广州理工学院 信息与网络中心 办公地址:11栋信息楼208室