Группа угрожающих актеров в Иране, известная как Agrius, ранее известная как Americium, связана с Министерством разведки и безопасности (MOIS). Они активны с декабря 2020 года и недавно были замечены при использовании нового варианта вымогательского ПО под названием Moneybird в атаках против израильских организаций. Moneybird написан на C++, что отличается от основанного на .NET вредоносного ПО Apostle и его преемника Fantasy, которые использовались в деструктивных вторжениях против алмазной промышленности в Южной Африке, Израиле и Гонконге.
Последовательность заражения начинается с эксплуатации уязвимостей в веб-серверах, доступных через интернет, за которыми следует развертывание веб-оболочки под названием ASPXSpy. Она используется для проведения разведки, горизонтального перемещения, сбора учетных данных и эксфильтрации данных, а также для выполнения вымогательского ПО Moneybird. Moneybird предназначен для шифрования чувствительных файлов в папке “F:\User Shares” и оставляет заметку с требованием выкупа, призывая компанию связаться с ними в течение 24 часов или рисковать утечкой украденной информации.
Использование Moneybird указывает на расширение возможностей Agrius и усилия по укреплению атрибуции и обнаружения. Однако они продолжают использовать аналогичные инструменты и методы, как и раньше. Agrius – это всего лишь одна из нескольких иранских групп, поддерживаемых государством и нацеленных на Израиль, включая MuddyWater и Tortoiseshell. Было замечено, что эти группы используют скомпрометированную инфраструктуру SMB для фишинговых кампаний и финансового воровства и все чаще нацеливаются на малые и средние предприятия.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.