Agrius黑客组织已经从单纯使用“wiper”恶意软件转变为将“wiper”与勒索软件功能相结合。“Wiper”是一种恶意软件程序,旨在完全且不可恢复地破坏受感染设备上的数据。Agrius现在假装加密数据以勒索赎金,然后再用软件将其完全销毁。SentinelOne研究人员表示,Agrius黑客组织于2020年首次被发现,当时它以以色列为目标。该组织将自己的定制工具库与现成的攻击性安全软件相结合,部署了破坏性的Wipers,这次还部署了具有勒索软件功能的Wipers变体。与Maze或Conti等勒索团伙不同,Agrius集团似乎并没有纯粹的经济动机。据观察,勒索软件的使用只是对其网络间谍和破坏攻击的掩饰。研究人员说,Agrius故意将他们的活动伪装成勒索软件攻击,而实际上是对以色列目标进行破坏性攻击。因此,研究人员怀疑该组织是由国家赞助的。Agrius黑客团伙攻击方式在攻击的第一阶段,Agrius会使用虚拟专用网络访问属于目标受害者的面向公众的应用程序或服务,然后尝试通过被入侵的帐户和软件漏洞对其进行利用。例如,FortiOS中名为CVE-2018-13379的漏洞已被广泛用于针对以色列目标的利用尝试。如果成功,他们将继续部署webshel??l并使用公共网络安全工具进行凭证收集和网络移动,然后再部署恶意软件负载。Agrius的武器库中包括Deadwood(也称为Detbosit),这是一种破坏性的“擦除器”恶意软件。该恶意软件与2019年针对沙特阿拉伯的攻击有关,据信是APT33所为。此外,据信APT33和APT34都使用了包括Deadwood、Shamoon和ZeroCleare在内的擦除器。在攻击期间,Agrius还投放了一个名为IPsecHelper的自定义.NET后门,用于持久化和连接到命令和控制(C2)服务器。此外,该组织还将发布一个名为Apostle的新.NET漏洞。而IPsecHelper和Apostle似乎是同一个开发者的作品。在最近对阿拉伯联合酋长国一家国有设施的攻击中,Apostle似乎已被修改为包含一个功能勒索软件组件。然而,研究人员认为,Agrius的开发重点是勒索软件的破坏性功能——例如加密文件的能力——而不是经济利益。Agrius的攻击意图研究人员表示,他们更愿意相信新添加的加密旨在隐藏其实际意图——破坏受害者的数据。并且,这个论点可以在较早版本的Apostle中得到证实。部署了早期版本的Apostle来擦除数据,但未能这样做,这可能是由于恶意软件逻辑中的缺陷。这种有缺陷的执行导致了戴德伍德雨刷的部署。当然,成功擦除数据并没有阻止攻击者继续索要赎金。SentinelOne表示,尚未发现Agrius与其他APT组织有任何“可靠”联系,但由于Agrius对伊朗问题有浓厚的兴趣,并部署了与伊朗制造的变种挂钩的webshel??l,率先使用“雨刮器”—早在2002年就与伊朗APT组织有关的攻击技术。这些证据可以合理推断该组织可能来自伊朗。来源:zdnet
