亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

Agrius黑客組織已經(jīng)從單純地使用“雨刷”惡意軟件轉(zhuǎn)別為將“雨刷”與贖金軟件功能相結(jié)合的方式。

“雨刷”是一種惡意軟件程序，旨在徹底銷毀受感染設(shè)備上的數(shù)據(jù)，且數(shù)據(jù)無法恢復(fù)。

現(xiàn)在，Agrius在用該軟件徹底銷毀數(shù)據(jù)之前，會(huì)先假裝對(duì)數(shù)據(jù)進(jìn)行加密以勒索贖金。

SentinelOne研究人員表示，Agrius黑客組織在2020年針對(duì)以色列攻擊時(shí)首次被發(fā)現(xiàn)。該組織將自己的定制工具庫和現(xiàn)成的攻擊性安全軟件相組合，部署破壞性的“雨刷”以及此次發(fā)現(xiàn)的帶有贖金軟件功能的“雨刷”變體。

與Maze或Conti等勒索團(tuán)伙不同，Agrius組織似乎并不單純只抱有經(jīng)濟(jì)目的。根據(jù)觀察，勒索軟件的使用只是覆蓋于其網(wǎng)絡(luò)間諜和破壞攻擊上的一層面紗。

研究人員表示，Agrius 故意將他們的活動(dòng)掩蓋為贖金軟件攻擊，而實(shí)際上卻對(duì)以色列目標(biāo)進(jìn)行破壞性攻擊。因此，研究人員懷疑該組織是由國(guó)家支持的。

Agrius黑客組織攻擊手法

在攻擊的第一階段，Agrius會(huì)使用VPN訪問屬于目標(biāo)受害者的面向公眾的應(yīng)用程序或服務(wù)，然后再通過受損的賬戶和軟件漏洞嘗試?yán)谩?/p>

例如，F(xiàn)ortiOS中被命名為CVE-2018-13379的漏洞，已被廣泛用于針對(duì)以色列目標(biāo)的利用嘗試中。

如果利用成功，他們就會(huì)繼續(xù)部署webshell，并使用公共網(wǎng)絡(luò)安全工具進(jìn)行憑證采集和網(wǎng)絡(luò)移動(dòng)，然后部署惡意軟件有效載荷。

Agrius的工具庫中包含著Deadwood（也被稱為Detbosit），這是一種破壞性的“雨刷”惡意軟件。該惡意軟件與2019年針對(duì)沙特阿拉伯的攻擊有關(guān)，被認(rèn)為是APT33的作品。此外，APT33和APT34都被認(rèn)為會(huì)使用包括Deadwood、Shamoon和ZeroCleare在內(nèi)的雨刷。

在攻擊過程中，Agrius還投放了一個(gè)名為IPsec Helper的自定義.NET后門，以保持持久性，并與命令和控制（C2）服務(wù)器建立連接。此外，該組織還將投放一個(gè)被稱為Apostle的新型.NET漏洞。并且IPsec Helper和Apostle似乎是同一個(gè)開發(fā)者的作品。

最近，在針對(duì)阿拉伯聯(lián)合酋長(zhǎng)國(guó)的一個(gè)國(guó)有設(shè)施的攻擊中，Apostle似乎已經(jīng)被改進(jìn)，以包含功能性的勒索軟件組件。

然而，研究人員認(rèn)為，Agrius在開發(fā)過程中關(guān)注的是勒索軟件的破壞性功能，如加密文件的能力-，而不是謀取經(jīng)濟(jì)上的利益。

Agrius的攻擊意圖

研究人員說表示，他們更愿意相信新添加的加密功能是為了掩蓋其實(shí)際意圖——破壞受害者的數(shù)據(jù)。

并且，這一論點(diǎn)可以在Apostle的早期版本中得到證實(shí)。Apostle早期版本的部署是為了擦除數(shù)據(jù)，但可能由于惡意軟件的邏輯缺陷而未能做到。這個(gè)有缺陷的執(zhí)行導(dǎo)致了Deadwood雨刷的部署。當(dāng)然，成功擦除數(shù)據(jù)并沒有阻止攻擊者繼續(xù)索要贖金。

SentinelOne表示，目前還沒有發(fā)現(xiàn)Agrius與其他APT組織的 “可靠 “聯(lián)系，但由于Agrius對(duì)伊朗問題有濃重的興趣，并且部署與伊朗制造的變種有聯(lián)系的webshell，以及最先使用“雨刷”——一種早在2002年就與伊朗APT組織有關(guān)的攻擊技術(shù)，這些證據(jù)都可以合理推測(cè)該組織可能來自伊朗。

來源：zdnet

來自：FreeBuf.COM