Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Хакерская группировка Agrius выдает деструктивное ПО за вымогательское

26/05/21

Irahack-May-26-2021-10-19-53-69-AMСвязываемая с Ираном киберпреступная группировка Agrius немного изменила свою тактику и вместо стопроцентно деструктивного вайпера стала использовать ПО с функциями как вайпера, так и вымогательской программы.

Как сообщила компания SentinelOne в своем новом отчете, Agrius была впервые обнаружена в 2020 году, когда группировка атаковала цели в Израиле. Хакеры используют комбинацию из инструментов собственного производства и готовых инструментов для развертывания деструктивного вредоносного ПО (вайпера) или вайпера-вымогателя.

Тем не менее, в отличие от кибервымогательских группировок Maze и Conti, Agrius не преследует исключительно финансовую выгоду. Скорее, использование вымогательского ПО – новое дополнение к атакам, направленным ни на что иное, как на кибершпионаж и разрушение. Кроме того, в некоторых отслеживаемых SentinelOne атаках, в которых использовался только вайпер, хакеры только делали вид, будто похищали и шифровали информацию с целью получения выкупа за расшифровку, но на самом деле информация уже была уничтожена.

По словам исследователя, злоумышленники намеренно маскировали свои атаки под атаки вымогательского ПО, хотя в действительности их целью было не вымогательство, а уничтожение данных.

На первом этапе атаки хакеры используют VPN, получают доступ к принадлежащим жертвам приложениям и сервисам и пытаются проэксплуатировать уязвимости в них (к примеру, в атаках на цели в Израиле чаще всего эксплуатировалась уязвимость CVE-2018-13379 в FortiOS). В случае успеха злоумышленники устанавливают web-оболочки и с помощью легитимных инструментов перемещаются по сети и собирают учетных данные, после чего развертывают вредоносное ПО.

Один из инструментов Agrius использует Deadwood (Detbosit) – деструктивный вайпер, созданный киберпреступной группировкой APT33 и использовавшийся в атаках на цели в Саудовской Аравии в 2019 году.

В ходе атак Agrius также устанавливает в атакуемой сети бэкдор на языке .NET под названием IPsec Helper для получения постоянства и соединения с C&C-сервером. Вдобавок хакеры развертывают новый вайпер на .NET под названием Apostle.

Во время недавней атаки на государственный объект в Объединенных Арабских Эмиратах группировка использовала улучшенную и модифицированную версию Apostle. В программу были добавлены функциональные компоненты вымогателей, но, по мнению исследователей, ее главное предназначение – уничтожение данных, а не шифрование с целью получения финансовой выгоды.

Темы:ПреступленияИранХакерские атакивайперы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...