Новое оружие иранских кибершпионов против Израиля автоматизирует сбор разведданных в целевой среде.
Исследователи безопасности из Check Point обнаружили , что иранская группировка Agrius использует новый вид программы-вымогателя под названием Moneybird в своих атаках на израильские организации.
Группа Agrius (Pink Sandstorm, Americium) известна своими разрушительными атаками на Израиль, в которых хакеры делают вид, будто шифруют файлы с целью получения выкупа, но на самом деле уничтожают их . Microsoft приписывает злоумышленника Министерству разведки и безопасности Ирана (MOIS), которое также управляет группировкой MuddyWater, активной с 2020 года.
Цепочка заражения начинается с эксплуатации уязвимостей на веб-серверах, доступных в Интернете, что приводит к развертыванию веб-оболочки под названием ASPXSpy.
На последующих этапах атаки веб-оболочка используется как канал для доставки инструментов для проведения разведки среды жертвы, горизонтального перемещения, сбора учетных данных и кражи конфиденциальных данных.
На скомпрометированном хосте также выполняется программа-вымогатель Moneybird, которая предназначена для шифрования конфиденциальных файлов в папке «F:\User Shares» и размещения записки с требованием выкупа.
Agrius — не единственная иранская группа, которая участвует в кибероперациях против Израиля. Недавно израильская ИБ-компания ClearSky сообщила, что несколько израильских сайтов в сфере логистики и доставки были взломаны с целью сбора информации об их пользователях . Эксперты ClearSky «с низкой степенью уверенности» приписали атаки иранской группировке Tortoiseshell (TA456, Imperial Kitten), которая активна с июля 2018 года.
Но сам Израиль не такой белый и пушистый, как может показаться. Ранее стало известно, что израильская хакерская группировка проводит масштабную кампанию по компрометации корпоративной электронной почты (BEC-атака). Основными целями атак становятся крупные и международные компании с годовым доходом более $10 млрд.