用于攻击以色列实体的 Moneybird 勒索软件

伊朗黑客组织 Agrius 也被称为 Pink Sandstorm，前身为 Americium，它开发了一种名为 Moneybird 的新型勒索软件。 CheckPoint 研究人员发现了这种危险的恶意软件，这标志着 Agrius 的策略发生了重大变化，因为他们现在以以色列组织为目标。

Agrius 有对以色列实体进行破坏性数据擦除攻击的历史，通常将它们伪装成勒索软件感染。用 C++ 编程的 Moneybird 的开发展示了该团队不断扩展的技能和对创建新网络工具的持续承诺。

至少从 2020 年 12 月开始，Agrius 一直被追溯到破坏针对南非、以色列和香港钻石行业的入侵。过去，该组织使用一种名为 Apostle 的基于 .NET 的勒索软件，后来演变为 Fantasy。然而，用 C++ 编码的 Moneybird 展示了该组织不断发展的网络能力。

Moneybird 勒索软件行动表明 Agrius 不断增长的技术专长和致力于开发新的网络工具。它采用复杂的攻击方法，首先利用公开暴露的 Web 服务器中的漏洞。这种最初的利用允许部署 ASPXSpy web shell，它作为目标组织网络的第一个入口点。

一旦进入内部，Web shell 将充当通信渠道，提供一组众所周知的工具，这些工具专为深度侦察、横向移动、凭据收集和受害者环境中的敏感数据外泄而设计。

随后，Moneybird 勒索软件部署在受感染的主机上，专门针对“F:\User Shares”文件夹中的敏感文件。执行后，勒索软件会留下勒索字条，迫使受害者在 24 小时内联系，否则他们被盗的数据可能会被公开泄露。

Moneybird 使用 AES-256 和 GCM 进行加密，采用复杂的技术为每个文件生成唯一的加密密钥。加密的元数据附加在每个文件的末尾，这使得数据恢复和解密在大多数情况下即使不是不可能，也极具挑战性。

高级持续性威胁行为者 (APT) 是经验丰富且技能高超的威胁行为者或黑客组织，通常在民族国家或资源充足的实体的支持下，对特定组织进行长期、有针对性的网络攻击。 APT 的特点是其先进的技术、持久性以及长期渗透和破坏目标系统的意图，而且往往未被发现。

以下是与 APT 相关的一些关键特征和特征：

高级技术：APT 攻击者采用高级黑客技术，包括零日攻击、自定义恶意软件、rootkit 和复杂的社会工程策略。他们不断改进他们的方法来绕过安全措施并保持他们的访问权限。
持久性：APT 致力于实现其目标并在受感染的系统中保持长期存在。他们可能会建立多个入口点、创建后门并利用隐蔽的通信渠道来保持持久性。
有针对性的攻击：APT 专注于特定目标，例如政府机构、国防承包商、关键基础设施、研究机构或跨国公司。他们进行彻底的侦察以收集情报并调整攻击以利用目标基础设施中的特定漏洞。
民族国家支持：APT 通常与寻求政治、经济或军事优势的民族国家或国家资助的实体相关联。他们可能拥有大量资源、情报能力和法律保护，使他们能够开展广泛而持久的活动。
数据泄露：APT 的主要目标是泄露有价值的数据，包括知识产权、商业秘密、机密信息或个人身份信息 (PII)。被盗数据可用于间谍活动、经济利益、竞争优势或未来的网络操作。
秘密行动：APT 优先考虑保持低调和避免被发现。他们采用复杂的逃避技术，例如反取证措施、加密和混淆来隐藏他们的活动并逃避安全系统。

著名的 APT 组织的示例包括 APT29（也称为 Cozy Bear 或 The Dukes）、APT28（也称为 Fancy Bear 或 Sofacy）、Equation Group、Comment Crew 和 Lazarus Group。

由 Zaib

May 26, 2023

Ransomware