Agrius黑客組織已經(jīng)從單純地使用“雨刷”惡意軟件轉別為將“雨刷”與贖金軟件功能相結合的方式。

“雨刷”是一種惡意軟件程序，旨在徹底銷毀受感染設備上的數(shù)據(jù)，且數(shù)據(jù)無法恢復。

現(xiàn)在，Agrius在用該軟件徹底銷毀數(shù)據(jù)之前，會先假裝對數(shù)據(jù)進行加密以勒索贖金。

SentinelOne研究人員表示，Agrius黑客組織在2020年針對以色列攻擊時首次被發(fā)現(xiàn)。該組織將自己的定制工具庫和現(xiàn)成的攻擊性安全軟件相組合，部署破壞性的“雨刷”以及此次發(fā)現(xiàn)的帶有贖金軟件功能的“雨刷”變體。

與Maze或Conti等勒索團伙不同，Agrius組織似乎并不單純只抱有經(jīng)濟目的。根據(jù)觀察，勒索軟件的使用只是覆蓋于其網(wǎng)絡間諜和破壞攻擊上的一層面紗。

研究人員表示，Agrius 故意將他們的活動掩蓋為贖金軟件攻擊，而實際上卻對以色列目標進行破壞性攻擊。因此，研究人員懷疑該組織是由國家支持的。

Agrius黑客組織攻擊手法

在攻擊的第一階段，Agrius會使用虛擬專用網(wǎng)訪問屬于目標受害者的面向公眾的應用程序或服務，然后再通過受損的賬戶和軟件漏洞嘗試利用。

例如，F(xiàn)ortiOS中被命名為CVE-2018-13379的漏洞，已被廣泛用于針對以色列目標的利用嘗試中。

如果利用成功，他們就會繼續(xù)部署webshell，并使用公共網(wǎng)絡安全工具進行憑證采集和網(wǎng)絡移動，然后部署惡意軟件有效載荷。

Agrius的工具庫中包含著Deadwood(也被稱為Detbosit)，這是一種破壞性的“雨刷”惡意軟件。該惡意軟件與2019年針對沙特阿拉伯的攻擊有關，被認為是APT33的作品。此外，APT33和APT34都被認為會使用包括Deadwood、Shamoon和ZeroCleare在內(nèi)的雨刷。

在攻擊過程中，Agrius還投放了一個名為IPsec Helper的自定義.NET后門，以保持持久性，并與命令和控制(C2)服務器建立連接。此外，該組織還將投放一個被稱為Apostle的新型.NET漏洞。并且IPsec Helper和Apostle似乎是同一個開發(fā)者的作品。

最近，在針對阿拉伯聯(lián)合酋長國的一個國有設施的攻擊中，Apostle似乎已經(jīng)被改進，以包含功能性的勒索軟件組件。

然而，研究人員認為，Agrius在開發(fā)過程中關注的是勒索軟件的破壞性功能，如加密文件的能力-，而不是謀取經(jīng)濟上的利益。

Agrius的攻擊意圖

研究人員說表示，他們更愿意相信新添加的加密功能是為了掩蓋其實際意圖——破壞受害者的數(shù)據(jù)。

并且，這一論點可以在Apostle的早期版本中得到證實。Apostle早期版本的部署是為了擦除數(shù)據(jù)，但可能由于惡意軟件的邏輯缺陷而未能做到。這個有缺陷的執(zhí)行導致了Deadwood雨刷的部署。當然，成功擦除數(shù)據(jù)并沒有阻止攻擊者繼續(xù)索要贖金。

SentinelOne表示，目前還沒有發(fā)現(xiàn)Agrius與其他APT組織的 "可靠 "聯(lián)系，但由于Agrius對伊朗問題有濃重的興趣，并且部署與伊朗制造的變種有聯(lián)系的webshell，以及最先使用“雨刷”——一種早在2002年就與伊朗APT組織有關的攻擊技術，這些證據(jù)都可以合理推測該組織可能來自伊朗。

來源：zdnet