Ngày 25 tháng 5 năm 2023Ravie LakshmananRansomware / Bảo mật điểm cuối
Diễn viên mối đe dọa Iran được gọi là Agrius đang tận dụng một chủng ransomware mới có tên là Moneybird trong các cuộc tấn công nhắm vào các tổ chức của Israel.
Agrius, còn được gọi là Pink Sandstorm (trước đây là Americium), có thành tích dàn dựng các cuộc tấn công xóa sạch dữ liệu nhằm vào Israel dưới chiêu bài lây nhiễm mã độc tống tiền.
Microsoft đã quy tác nhân đe dọa cho Bộ Tình báo và An ninh (MOIS) của Iran, cơ quan cũng điều hành MuddyWater. Nó được biết là hoạt động kể từ ít nhất là tháng 12 năm 2020.
Vào tháng 12 năm 2022, nhóm tấn công được cho là đã thực hiện một loạt các vụ xâm nhập gây rối nhằm vào các ngành công nghiệp kim cương ở Nam Phi, Israel và Hồng Kông.
Các cuộc tấn công này liên quan đến việc sử dụng một phần mềm đòi tiền chuộc chuyển thành công cụ gạt nước dựa trên .NET có tên là Tông đồ và phần mềm kế nhiệm của nó có tên là Fantasy. Không giống như Tông đồ, Moneybird được lập trình bằng C++.
Các nhà nghiên cứu của Check Point, Marc Salinas Fernandez và Jiri Vinopal, cho biết: “Việc sử dụng một ransomware mới, được viết bằng C ++, rất đáng chú ý vì nó thể hiện khả năng mở rộng và nỗ lực không ngừng của nhóm trong việc phát triển các công cụ mới”.
Trình tự lây nhiễm bắt đầu bằng việc khai thác các lỗ hổng trong các máy chủ web tiếp xúc với internet, dẫn đến việc triển khai trình bao web được gọi là ASPXSpy.
Trong các bước tiếp theo, trình bao web được sử dụng làm đường dẫn để cung cấp các công cụ đã biết công khai nhằm thực hiện việc do thám môi trường nạn nhân, di chuyển ngang, thu thập thông tin đăng nhập và lọc dữ liệu.
Cũng được thực hiện trên máy chủ bị xâm nhập là ransomware Moneybird, được thiết kế để mã hóa các tệp nhạy cảm trong thư mục “F:\User Shares” và đưa ra thông báo đòi tiền chuộc, thúc giục công ty liên hệ với họ trong vòng 24 giờ hoặc có nguy cơ bị rò rỉ thông tin bị đánh cắp.
Các nhà nghiên cứu cho biết: “Việc sử dụng một ransomware mới cho thấy những nỗ lực bổ sung của kẻ tấn công nhằm nâng cao khả năng, cũng như củng cố các nỗ lực phát hiện và quy kết”. “Bất chấp những ‘vỏ bọc' mới này, nhóm vẫn tiếp tục thực hiện hành vi thông thường của mình và sử dụng các công cụ và kỹ thuật tương tự như trước đây.”
Agrius không phải là nhóm duy nhất do nhà nước Iran tài trợ tham gia vào các hoạt động mạng nhắm vào Israel. Một báo cáo từ Microsoft vào tháng trước đã phát hiện ra sự hợp tác của MuddyWater với một cụm khác có tên là Storm-1084 (hay còn gọi là DEV-1084) để triển khai phần mềm tống tiền DarkBit.
Những phát hiện này cũng được đưa ra khi ClearSky tiết lộ rằng không ít hơn tám trang web liên quan đến các công ty vận chuyển, hậu cần và dịch vụ tài chính ở Israel đã bị xâm phạm như một phần của cuộc tấn công lỗ tưới nước do nhóm Tortoiseshell có liên kết với Iran dàn dựng.
Trong một diễn biến liên quan, Proofpoint tiết lộ rằng các nhà cung cấp dịch vụ được quản lý khu vực (MSP) ở Israel đã bị MuddyWater nhắm mục tiêu như một phần của chiến dịch lừa đảo được thiết kế để bắt đầu các cuộc tấn công chuỗi cung ứng đối với khách hàng hạ nguồn của họ.
Công ty bảo mật doanh nghiệp nhấn mạnh thêm các mối đe dọa leo thang đối với các doanh nghiệp vừa và nhỏ (SMB) từ các nhóm đe dọa tinh vi, đã được quan sát thấy tận dụng cơ sở hạ tầng SMB bị xâm phạm cho các chiến dịch lừa đảo và trộm cắp tài chính.
