“A támadások fő jellemzője a személyazonosító információk (PII) és szellemi tulajdonok ellopásának kísérlete volt,” közölte a Palo Alto Networks Unit 42 egy friss, a The Hacker News-szal megosztott jelentésében. “A támadók az információk megszerzése után többféle törlő szoftvert telepítettek annak érdekében, hogy eltüntessék a nyomokat és használhatatlanná tegyék a fertőzött végpontokat.”Ezek közé tartozik három különböző, újszerű törlő program: a MultiLayer, a PartialWasher és a BFG Agonizer, valamint a Sqlextractor nevű egyedi eszköz, amelyet adatbázis-szerverek adatainak kinyerésére fejlesztettek. Az 2020 decemberében aktív Agonizing Serpens csoportot izraeli célpontok elleni törlő vírusokkal végrehajtott támadásokkal hozták kapcsolatba. Májusban a Check Point részletezte, hogy a támadók a Moneybird nevű zsarolóvírust használták az ország elleni támadásaik során. A legfrissebb támadássorozat során a hackerek az internetre kapcsolt sebezhető webszervereket használták fel az elsődleges hozzáférési pontként, webhéjak telepítésére, a célhálózat feltérképezésére és olyan felhasználók hitelesítő adatainak megszerzésére, akik rendszergazdai jogosultságokkal bírtak. Ezt követően oldalirányú mozgást végezve exfiltrálták az adatokat különféle nyilvános és egyedi eszközökkel, mint például a Sqlextractor, a WinSCP és a PuTTY segítségével, majd telepítették a törlő vírusokat. A MultiLayer egy .NET alapú vírus, amely fájlokat sorol fel törlésre vagy véletlenszerű adatokkal való felülírásra, így nehezítve meg a helyreállítást, és a rendszerindító szektor törlésével használhatatlanná teszi a rendszert. A PartialWasher egy C++ alapú vírus, amely merevlemezeket vizsgál és bizonyos mappákat, valamint azok almappáit törli. A BFG Agonizer egy olyan vírus, amely egy CRYLINE-v5.0 nevű nyílt forráskódú projektre támaszkodik. Az Agrius és további kártevőcsaládok közötti kód átfedések arra utalnak, hogy a csoport az Apostle, az IPsec Helper és a Fantasy nevű kártevőket is alkalmazta korábban.
“Úgy tűnik, az Agonizing Serpens APT csoport nemrég fokozta képességeit és jelentős erőfeszítéseket, illetve forrásokat fordított az EDR és egyéb biztonsági intézkedések kijátszására,” állítják a Unit 42 kutatói. “E célból váltakozva használtak különböző, jól ismert proof-of-concept (PoC) és pentesting eszközöket, valamint saját fejlesztésű eszközöket.”Forrás: www.thehackernews.com
Telephely: 1111 Budapest, Krusper utca 3.
Telefon: +36 30 488 8222
Email: info@dataclear.hu