Iranski haker poznat kao Agrius koristi novi ransomware soj pod nazivom Moneybird u svojim napadima usmjerenim na izraelske organizacije.
Agrius, takođe poznat kao Pink Sandstorm (bivši Americium), ima iskustvo u sceniranju destruktivnih napada brisanja podataka usmjerenih na Izrael pod krinkom ransomware zaraze.
Microsoft je hakera pripisao iranskom Ministarstvu obavještajnih poslova i sigurnosti (MOIS), koje takođe upravlja MuddyWater-om. Poznato je da je aktivan najmanje od decembra 2020. godine.
U decembru 2022. godine, hakerska ekipa je pripisana nizu pokušaja ometajućih upada koji su bili usmjereni protiv industrije dijamanata u Južnoj Africi, Izraelu i Hong Kongu.
Ovi napadi su uključivali upotrebu .NET baziranog ransomware-a koji se koristi za brisanje pod nazivom Apostle i njegovog nasljednika poznatog kao Fantasy. Za razliku od Apostola, Moneybird je programiran u C++.
“Upotreba novog ransomware-a, napisanog na C++, je vrijedna pažnje, jer pokazuje širenje sposobnosti grupe i stalne napore u razvoju novih alata” rekli su istraživači Check Point-a Marc Salinas Fernandez i Jiri Vinopal.
Slijed zaraze počinje iskorištavanjem ranjivosti unutar web servera izloženih internetu, što dovodi do postavljanja web shell-a koje se naziva ASPXSpy.
U narednim koracima, web shell se koristi kao kanal za isporuku javno poznatih alata za izviđanje okruženja žrtve, lateralno kretanje, prikupljanje kredencijala i eksfiltrovanje podataka.
Takođe se izvršava na kompromitovanom host-u i Moneybird ransomware, koji je dizajniran da šifruje osjetljive datoteke u folderu “F:\User Shares” i ispušta bilješku o otkupnini koja poziva kompaniju da ih kontaktira u roku od 24 sata ili rizikuje da ukradene informacije procure.
“Upotreba novog ransomware-a pokazuje dodatne napore hakera da poboljša sposobnosti, kao i pojačane napore pripisivanja i otkrivanja” rekli su istraživači. “Uprkos ovim novim ‘cover-ima’, grupa nastavlja da prati svoje uobičajeno ponašanje i koristi slične alate i tehnike kao i prije.”
Agrius je daleko od jedine grupe koju sponzoriše Iran, koja je uključena u kibernetičke operacije usmjerene na Izrael. Izvještaj iz Microsoft-a prošlog mjeseca otkrio je saradnju MuddyWater-a sa drugim klasterom nazvanim Storm-1084 (aka DEV-1084) za implementaciju DarkBit ransomware-a.
Nalazi takođe dolaze kada je ClearSky otkrio da je najmanje osam web stranica povezanih s kompanijama za transport, logistiku i finansijske usluge u Izraelu kompromitovano kao dio napada koji je orkestrovala grupa Tortoiseshell povezana s Iranom.
U srodnom razvoju, Proofpoint je otkrio da su regionalno upravljani provajderi usluga (MSP) u Izraelu bili na meti MuddyWater-a kao dio phishing kampanje osmišljene da iniciraju napade na lanac snabdijevanja protiv njihovih klijenata.
Kompanija za sigurnost dodatno je istakla eskalaciju pretnji malim i srednjim kompanijama (SMB) od sofistikovanih grupa hakera, za koje je uočeno da koriste ugroženu SMB infrastrukturu za phishing kampanje i finansijsku krađu.
Izvor: The Hacker News