伊朗國家級駭客組織以惡意資料抹除程式(Wiper)偽裝勒索軟體瞄準以色列

Key Points:

-伊朗APT駭客組織Agrius以偽裝成勒索軟體的資料抹除程式(Wiper)鎖定以色列

-該惡意軟體被命名為使徒(Apostle)

-駭客組織Agrius曾使用DEADWOOD,一個由駭客組織APT33和APT34共享的另一個資料抹除工具。

-攻擊中使用的其他惡意軟體包括 ASPXSpy Webshell和 IPSec Helper後門

Sentinel Labs的資安研究人員發現一個伊朗駭客組織,以偽裝成勒索軟體的惡意資料抹除程式,從2020年12月開始對以色列發動了破壞性攻擊,被稱為使徒(Apostle)的惡意程式早期版本存在bug,在嘗試刪除資料時會失敗。後期的版本修復了bug,還加入了勒索軟體行為,留下勒索信,通知要贖金才解密資料。研究人員根據程式碼以及它使用的伺服器斷言開發該惡意程式的駭客組織與伊朗政府有關聯,它的主要攻擊目標是以色列。研究人員將該駭客組織命名為Agrius,並認為Agrius偽裝成勒索攻擊的背後是為了掩蓋毀滅數據的實際意圖。

Agrius攻擊週期摘要 , Photo credit: Sentinel Labs

SentinelOne發現最早期的攻擊,Agrius使用一個名為DEADWOOD的數據抹除惡意軟體,為了安裝 DEADWOOD,Agrius會利用未修補伺服器中的漏洞在目標網路上建立立足點,用來部署 ASPXSpy web shell和IPSec Helper的後門。一旦入侵目標網路,Agrius駭客小組將部署DEADWOOD,銷毀MBR 磁碟分割並抹除檔案,然後要求支付贖金以分散受害人的IT團隊其攻擊的真正目的,但是由於DEADWOOD是一個已知的惡意軟體,易被檢測到。

因此Agrius駭客組織在2020年底前建立了一個新工具Apostle,名為Apostle的惡意資料抹除程式,不僅包含DEADWOOD 的功能,更進一步的修復了DEADWOOD在程式碼上的bug,並添加了檔案加密功能,使Apostle變成了功能齊全的勒索軟體,儘管Apostle存在功能強大的檔案加密,但資安研究人員評估了Agrius攻擊的目的僅是削弱營運而不是勒索,故不可能是出於經濟動機的駭客組織。

研究人員還指出,該組織突然重新關注以色列的意義重大,證實了特拉維夫和德黑蘭政府之間網路緊張局勢有升級的趨勢。

有關Agrius駭客組織的情資:

https://otx.alienvault.com/pulse/60ad107f73681c1bc1032235

Source:

https://assets.sentinelone.com/sentinellabs/evol-agrius