Agrius团伙伪装成勒索软件的数据擦除程序攻击以色列

追踪与伊朗有联系的黑客，当时Agrius使用伪装成勒索软件的数据擦除程序破坏了目标IT基础设施。

网络安全公司SentinelOne的研究人员发现了一个与伊朗有联系的新黑客，称为Agrius，他们依靠伪装成勒索软件的数据清除恶意软件来摧毁目标系统。

为了隐藏威胁的真实性质，攻击者正在向受害者索要赎金，以模拟勒索软件攻击。

据专家称，Agrius小组自2020年初以来一直活跃。最初的袭击针对中东地区的实体，但自2020年12月以来，Agrius的行动扩展到了以色列目标。

“袭击是使用DEADWOOD（又名Detbosit）进行的，与伊朗威胁团体的联系未经证实。” 阅读SentinelOne发布的帖子。“ Agrius还丢下了一个名为’Apostle’的新型抽头和一个名为’IPsec Helper’的自定义.NET后门。”

Agrius使用一个名为数据抹恶意软件 DEADWOOD  （又名 Detbosit），它也使用了其他伊朗黑客在过去的攻击。当访问目标的面向公众的应用程序时，黑客利用VPN服务（主要是ProtonVPN）在雷达下飞行。

攻击者通过利用已知漏洞将恶意软件部署在未修补的服务器上，然后使用该恶意软件部署ASPXSpy  Web Shell，然后部署 自定义.NET后门IPSec Helper。

“ Agrius使用这些Web Shell来隧穿RDP流量，以利用受到破坏的帐户进行横向移动。在此阶段，攻击者使用各种公开可用的攻击性安全工具进行凭证收集和横向移动。” 继续报告。

一旦部署了DEADWOOD恶意软件，该恶意代码就会破坏MBR分区并清除受感染系统上的所有文件。恶意代码要求勒索赎金作为一种分散手段。

在最近的攻击中，Agrius小组还投放了另一个称为“使徒”的工具，攻击者不断对其进行改进。最新的Apostle版本支持所有常见的勒索软件功能。

“攻击中使用的一种工具被称为’使徒’，后来变成了功能齐全的勒索软件，取代了其功能。它里面的信息表明，它曾被用来瞄准阿拉伯联合酋长国一家关键的国有设施。它与抽头版本的相似之处，以及在区域性纠纷中目标的性质，使我们相信其背后的运营商正在利用勒索软件来破坏其能力。” 继续报告。

尽管该恶意软件实现了全部功能的勒索软件功能，但专家认为，该恶意软件是为破坏目标系统而开发的，这种情况表明攻击者的财务动机不高。

SentinelOne研究人员认为，对以色列实体的袭击证实了黑客可能与德黑兰有关联。

“ Agrius是一个新的威胁团体，我们以中等信心评估其为伊朗血统，从事间谍活动和破坏活动。该组织利用自己的自定义工具集以及可公开获得的进攻性安全工具来针对中东的各种组织。” 总结报告。“ 2021年5月上旬，n3tw0rm勒索软件组织将另一组破坏性勒索软件攻击归因于伊朗，这是一个新近确定的威胁参与者，与2020 Pay2Key攻击有关联。Agrius和n3tw0rm战役非常接近，这表明它们可能是更大，协调的伊朗战略的一部分。”

SentinelOne还发布了有关该小组活动的技术报告，其中还包括危害指标（IOC）。