用於攻擊以色列實體的 Moneybird 勒索軟件
伊朗黑客組織 Agrius 也被稱為 Pink Sandstorm,前身為 Americium,它開發了一種名為 Moneybird 的新型勒索軟件。 CheckPoint 研究人員發現了這種危險的惡意軟件,這標誌著 Agrius 的策略發生了重大變化,因為他們現在以以色列組織為目標。
Agrius 有對以色列實體進行破壞性數據擦除攻擊的歷史,通常將它們偽裝成勒索軟件感染。用 C++ 編程的 Moneybird 的開發展示了該團隊不斷擴展的技能和對創建新網絡工具的持續承諾。
至少從 2020 年 12 月開始,Agrius 一直被追溯到破壞針對南非、以色列和香港鑽石行業的入侵。過去,該組織使用一種名為 Apostle 的基於 .NET 的勒索軟件,後來演變為 Fantasy。然而,用 C++ 編碼的 Moneybird 展示了該組織不斷發展的網絡能力。
Moneybird - 傳播和活動
Moneybird 勒索軟件行動表明 Agrius 不斷增長的技術專長和致力於開發新的網絡工具。它採用複雜的攻擊方法,首先利用公開暴露的 Web 服務器中的漏洞。這種最初的利用允許部署 ASPXSpy web shell,它作為目標組織網絡的第一個入口點。
一旦進入內部,Web shell 將充當通信渠道,提供一組眾所周知的工具,這些工具專為深度偵察、橫向移動、憑據收集和受害者環境中的敏感數據外洩而設計。
隨後,Moneybird 勒索軟件部署在受感染的主機上,專門針對“F:\User Shares”文件夾中的敏感文件。執行後,勒索軟件會留下勒索字條,迫使受害者在 24 小時內聯繫,否則他們被盜的數據可能會被公開洩露。
Moneybird 使用 AES-256 和 GCM 進行加密,採用複雜的技術為每個文件生成唯一的加密密鑰。加密的元數據附加在每個文件的末尾,這使得數據恢復和解密在大多數情況下即使不是不可能,也極具挑戰性。
什麼是高級持續性威脅參與者或 APT?
高級持續性威脅行為者 (APT) 是經驗豐富且技能高超的威脅行為者或黑客組織,通常在民族國家或資源充足的實體的支持下,對特定組織進行長期、有針對性的網絡攻擊。 APT 的特點是其先進的技術、持久性以及長期滲透和破壞目標系統的意圖,而且往往未被發現。
以下是與 APT 相關的一些關鍵特徵和特徵:
- 高級技術:APT 攻擊者採用高級黑客技術,包括零日攻擊、自定義惡意軟件、rootkit 和復雜的社會工程策略。他們不斷改進他們的方法來繞過安全措施並保持他們的訪問權限。
- 持久性:APT 致力於實現其目標並在受感染的系統中保持長期存在。他們可能會建立多個入口點、創建後門並利用隱蔽的通信渠道來保持持久性。
- 有針對性的攻擊:APT 專注於特定目標,例如政府機構、國防承包商、關鍵基礎設施、研究機構或跨國公司。他們進行徹底的偵察以收集情報並調整攻擊以利用目標基礎設施中的特定漏洞。
- 民族國家支持:APT 通常與尋求政治、經濟或軍事優勢的民族國家或國家資助的實體相關聯。他們可能擁有大量資源、情報能力和法律保護,使他們能夠開展廣泛而持久的活動。
- 數據洩露:APT 的主要目標是洩露有價值的數據,包括知識產權、商業秘密、機密信息或個人身份信息 (PII)。被盜數據可用於間諜活動、經濟利益、競爭優勢或未來的網絡操作。
- 秘密行動:APT 優先考慮保持低調和避免被發現。他們採用複雜的逃避技術,例如反取證措施、加密和混淆來隱藏他們的活動並逃避安全系統。
著名的 APT 組織的示例包括 APT29(也稱為 Cozy Bear 或 The Dukes)、APT28(也稱為 Fancy Bear 或 Sofacy)、Equation Group、Comment Crew 和 Lazarus Group。
