Forskare vid SentinelOne upptäckte utvecklingen av en iransk hackergrupp – Agrius, som attackerar israeliska mål i en bred spionkampanj. Enligt definitionen använder hotaktören en kombination av skräddarsydda verktyg och de allmänt tillgängliga för att attackera sina mål, genom att initialt utnyttja de senaste sårbarheterna i sina nätverk. Sedan distribuerar de en torkare förklädd som ransomware som heter Apostle, för att radera ut målets data.
Iranska hackare torkar data från israeliska mål
Statligt sponsrade hackinggrupper eller så kallade APT:er riktar sig ofta mot andra för intelligens snarare än pengar. Men vissa grupper drabbades av ett motiv som bara stör målets verksamhet och förnedrar den offentliga berömmelsen. En sådan grupp är Agrius, en iransk APT som vanligtvis riktar in sig på institutioner med skadlig programvara för ransomware.
Men de har nu utvecklats till en helt ny nivå enligt SentinelOnesom upptäckte Agrius senaste attacker mot israeliska mål. Som de beskrev börjar hotgruppen träffa de vanliga sårbarheterna som finns i enheterna i målets nätverk för att få första åtkomst. Några av dem inkluderar FortiOS CVE-2018-13379, SQL-injektion, eventuella 1-dagars webbappssårbarheter.
Väl in, distribuerar de en skräddarsydd .NET-skadlig programvara som heter ‘IPsec Helper’ för att få bakdörrsåtkomst till offrets dator och distribuerar ytterligare skadlig programvara för ytterligare utnyttjande. Detta inkluderar att distribuera en torkare skadlig programvara som heter Apostle, som är förklädd som ransomware när den är infekterad.
Agrius sågs från början använda en torkare som heter DEADWOOD (eller Detbosit) och förstörde data från flera saudiarabiska mål under 2019. Nu, som en utvecklad stam, lurar angriparna offer som lösenprogram och ber om lösen för att dekryptera sina system.
Men i bakgrunden har de redan raderat uppgifterna med sin aposteltorkare. På detta typiska tillvägagångssätt sa SentinelOne-forskarna, “.”