Программа-вымогатель Moneybird использовалась для атак на израильские организации

Agrius, иранская хакерская группа, также известная как Pink Sandstorm и ранее Americium, разработала новый тип программы-вымогателя под названием Moneybird. Исследователи CheckPoint обнаружили это опасное вредоносное ПО, что свидетельствует о значительных изменениях в тактике Agrius, поскольку теперь они нацелены на израильские организации.

Агриус имеет опыт проведения разрушительных атак с целью уничтожения данных на израильские организации, часто маскируя их под заражение программами-вымогателями. Разработка Moneybird, запрограммированного на C++, демонстрирует расширяющиеся навыки группы и постоянную приверженность созданию новых киберинструментов.

По крайней мере, с декабря 2020 года следы Agrius восходят к пресечению вторжений, направленных на алмазную промышленность в Южной Африке, Израиле и Гонконге. В прошлом группа использовала программу-вымогатель на основе .NET под названием Apostle, которая позже превратилась в Fantasy. Однако Moneybird, написанный на C++, демонстрирует развивающиеся кибер-возможности группы.

Moneybird — размножение и активность

Операция по вымогательству Moneybird демонстрирует растущий технический опыт и приверженность Agrius разработке новых киберинструментов. Он использует сложную методологию атаки, которая начинается с использования уязвимостей в общедоступных веб-серверах. Эта первоначальная эксплуатация позволяет развернуть веб-оболочку ASPXSpy, которая служит первой точкой входа в сеть целевой организации.

Оказавшись внутри, веб-оболочка действует как канал связи для доставки набора хорошо известных инструментов, предназначенных для глубокой разведки, горизонтального перемещения, сбора учетных данных и кражи конфиденциальных данных в среде жертвы.

Впоследствии программа-вымогатель Moneybird развертывается на скомпрометированном хосте и специально нацелена на конфиденциальные файлы в папке «F:\User Shares». После запуска программа-вымогатель оставляет после себя записку с требованием выкупа, вынуждая жертв вступить в контакт в течение 24 часов, иначе их украденные данные могут стать достоянием общественности.

Moneybird использует AES-256 с GCM для шифрования, используя сложную технику, которая генерирует уникальные ключи шифрования для каждого файла. Зашифрованные метаданные добавляются в конец каждого файла, что в большинстве случаев делает восстановление и расшифровку данных очень сложным, если не невозможным.

Что такое продвинутые субъекты постоянных угроз или APT?

Усовершенствованные устойчивые субъекты угроз (APT) — это сложные и высококвалифицированные субъекты угроз или хакерские группы, которые проводят долгосрочные целевые кибератаки против определенных организаций, часто при поддержке национальных государств или хорошо обеспеченных ресурсами организаций. APT характеризуются передовыми методами, настойчивостью и намерением проникнуть в целевые системы и скомпрометировать их в течение длительного времени, часто оставаясь незамеченными.

Вот некоторые ключевые характеристики и черты, связанные с APT:

• Передовые методы: злоумышленники APT используют передовые методы взлома, включая эксплойты нулевого дня, специализированные вредоносные программы, руткиты и изощренные тактики социальной инженерии. Они постоянно совершенствуют свои методы обхода мер безопасности и сохранения доступа.
• Постоянство: APT стремятся к достижению своих целей и поддерживают долгосрочное присутствие в скомпрометированных системах. Они могут устанавливать несколько точек входа, создавать лазейки и использовать скрытые каналы связи для поддержания устойчивости.
• Целевые атаки: APT сосредоточены на конкретных целях, таких как правительственные учреждения, оборонные подрядчики, критическая инфраструктура, исследовательские институты или транснациональные корпорации. Они проводят тщательную разведку, чтобы собрать разведданные и адаптировать свои атаки для использования конкретных уязвимостей в инфраструктуре цели.
• Поддержка национального государства: APT часто связаны с национальными государствами или спонсируемыми государством организациями, стремящимися к политическим, экономическим или военным преимуществам. У них могут быть значительные ресурсы, разведывательные возможности и юридическая защита, что позволяет им проводить обширные и длительные кампании.
• Эксфильтрация данных: основной целью APT является эксфильтрация ценных данных, включая интеллектуальную собственность, коммерческую тайну, секретную информацию или личную информацию (PII). Украденные данные могут быть использованы для шпионажа, экономической выгоды, конкурентного преимущества или будущих киберопераций.
• Тайные операции: APT отдают приоритет скрытности и избеганию обнаружения. Они используют изощренные методы уклонения, такие как антикриминалистические меры, шифрование и запутывание, чтобы скрыть свою деятельность и обойти системы безопасности.

Примеры хорошо известных групп APT включают APT29 (также известную как Cozy Bear или The Dukes), APT28 (также известную как Fancy Bear или Sofacy), Equation Group, Comment Crew и Lazarus Group.