Một nhóm tác nhân đe dọa tại Iran được biết đến với tên Agrius, trước đây được gọi là Americium, đã được liên kết với Bộ Tình báo và An ninh (MOIS). Họ đã hoạt động từ tháng 12 năm 2020 và gần đây đã được quan sát sử dụng một chủng ransomware mới gọi là Moneybird trong các cuộc tấn công chống lại các tổ chức Israel. Moneybird được lập trình bằng C++, một sự rời bỏ từ phần mềm độc dựa trên .NET chuyển đổi thành ransomware Apostle và kế nhiệm của nó là Fantasy, những cái đã được sử dụng trong các cuộc xâm nhập gây rối loạn chống lại ngành công nghiệp kim cương ở Nam Phi, Israel và Hồng Kông.
Chuỗi lây nhiễm bắt đầu với việc khai thác các lỗ hổng trong các máy chủ web tiếp xúc với internet, tiếp theo là việc triển khai một web shell gọi là ASPXSpy. Điều này được sử dụng để thực hiện công tác trinh sát, di chuyển ngang, thu thập thông tin xác thực và exfiltrate dữ liệu, cũng như thực hiện ransomware Moneybird. Moneybird được thiết kế để mã hóa các tệp nhạy cảm trong thư mục “F:\User Shares” và để lại một ghi chú yêu cầu chuộc, đề nghị công ty liên hệ với họ trong vòng 24 giờ hoặc đối mặt với nguy cơ thông tin bị đánh cắp của họ bị rò rỉ.
Việc sử dụng Moneybird cho thấy khả năng mở rộng của Agrius và nỗ lực để cứng cáp hóa việc quy cho và phát hiện. Tuy nhiên, họ tiếp tục sử dụng các công cụ và kỹ thuật tương tự như trước. Agrius chỉ là một trong số nhiều nhóm do Iran tài trợ nhắm vào Israel, bao gồm MuddyWater và Tortoiseshell. Những nhóm này đã được quan sát sử dụng cơ sở hạ tầng SMB bị xâm phạm cho các chiến dịch phishing và trộm cắp tài chính, và ngày càng nhắm vào các doanh nghiệp vừa và nhỏ.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.