Хакерская группировка Agrius выдает деструктивное ПО за вымогательское

Ср 26 Май 2021 08:20

Связываемая с Ираном киберпреступная группировка Agrius немного изменила свою тактику и вместо стопроцентно деструктивного вайпера стала использовать ПО с функциями как вайпера, так и вымогательской программы.

Как сообщила компания SentinelOne в своем новом отчете, Agrius была впервые обнаружена в 2020 году, когда группировка атаковала цели в Израиле. Хакеры используют комбинацию из инструментов собственного производства и готовых инструментов для развертывания деструктивного вредоносного ПО (вайпера) или вайпера-вымогателя.

Тем не менее, в отличие от кибервымогательских группировок Maze и Conti, Agrius не преследует исключительно финансовую выгоду. Скорее, использование вымогательского ПО – новое дополнение к атакам, направленным ни на что иное, как на кибершпионаж и разрушение. Кроме того, в некоторых отслеживаемых SentinelOne атаках, в которых использовался только вайпер, хакеры только делали вид, будто похищали и шифровали информацию с целью получения выкупа за расшифровку, но на самом деле информация уже была уничтожена.

По словам исследователя, злоумышленники намеренно маскировали свои атаки под атаки вымогательского ПО, хотя в действительности их целью было не вымогательство, а уничтожение данных.

На первом этапе атаки хакеры используют VPN, получают доступ к принадлежащим жертвам приложениям и сервисам и пытаются проэксплуатировать уязвимости в них (к примеру, в атаках на цели в Израиле чаще всего эксплуатировалась уязвимость CVE-2018-13379 в FortiOS). В случае успеха злоумышленники устанавливают web-оболочки и с помощью легитимных инструментов перемещаются по сети и собирают учетных данные, после чего развертывают вредоносное ПО.

Один из инструментов Agrius использует Deadwood (Detbosit) – деструктивный вайпер, созданный киберпреступной группировкой APT33 и использовавшийся в атаках на цели в Саудовской Аравии в 2019 году.

В ходе атак Agrius также устанавливает в атакуемой сети бэкдор на языке .NET под названием IPsec Helper для получения постоянства и соединения с C&C-сервером. Вдобавок хакеры развертывают новый вайпер на .NET под названием Apostle.

Во время недавней атаки на государственный объект в Объединенных Арабских Эмиратах группировка использовала улучшенную и модифицированную версию Apostle. В программу были добавлены функциональные компоненты вымогателей, но, по мнению исследователей, ее главное предназначение – уничтожение данных, а не шифрование с целью получения финансовой выгоды.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 132 дня 11 часов 7 минут 45 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.