พบกลุ่มภัยคุกคามใหม่ จากประเทศอิหร่าน หลอกว่าโจมตีเพื่อเรียกค่าไถ่ แต่ทำลายข้อมูลทิ้งทั้งหมด โดยมีเป้าหมายเป็นประเทศอิสราเอล
นักวิจัยจาก SentinelOne พบว่า วันที่ 25 May 2021 ที่ผ่านมาว่า กลุ่ม Agrius ถูกพบครั้งแรกในการโจมตีโดยมีเป้าหมายเป็นประเทศอิสราเอล ในปี 2020 โดยเครื่องมือที่ใช้พบว่ามีการใช้ Wiper malware ซึ่งเป็น มัลแวร์ที่มีเป้าหมายในการทำลายข้อมูล และ Ransomware ที่เป็นมัลแวร์ในการเรียกค่าไถ่ โดยแฮกเกอร์กลุ่มดังกล่าวจะไม่ได้มีแรงจูงใจในการโจมตีจากการเรียกค่าไถ่ แต่จะมุ่งไปที่การทำลายข้อมูลเป็นหลัก ในการติดตามการโจมตีที่ทาง SentinelOne ติดตามอยู่ พบว่า เมื่อกลุ่ม Agrius ทำการโจมตี ทางแฮกเกอร์จะแสร้งทำเป็นว่าขโมยและเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ แต่ว่าข้อมูลนั้นถูกทำลายไปแล้ว และนักวิจัยยังสงสัยอีกว่าแฮกเกอร์กลุ่มนี้อาจได้รับการสนับสนุนจากรัฐ
ในขั้นตอนแรกของการโจมตีนั้น ทาง Agrius จะใช้ VPN ในการเข้าถึงแอปหรือบริการที่เปิดเป็นสาธารณะของเหยื่อ ก่อนที่จะพยายามหาประโยชน์จากช่องโหว่ต่าง ๆ เช่น ช่องโหว่ใน FortiOS รหัส CVE-2018-13379 ที่ถูกนำมาใช้อย่างแพร่หลายในการพยายามโจมตีเป้าหมายในประเทศอิสราเอล หากสำเร็จในการใช้ช่องโหว่ ก็จะมีการใช้ webshells เข้าไปใช้เครื่องมือในการเก็บ credential และค้นหาเครื่องเป้าหมายที่ต้องการโจมตีในเครือข่าย เพื่อเข้าควบคุมเครื่องเป้าหมาย
เครื่องมือของกลุ่ม Agrius จะประกอบไปด้วย Deadwood หรือ Detbosit เป็น wiper malware ที่เน้นในการทำลายข้อมูล โดย Deadwood จะเชื่อมโยงกับเหตุการณ์การโจมตีประเทศซาอุดีอาระเบียนในปี 2019 ซึ่งคิดว่าเป็นการโจมตีของกลุ่ม APT33
ในระหว่างการโจมตีนั้น กลุ่ม Agrius จะมีการปล่อย .NET backdoor ชื่อว่า IPsec Helper เพื่อสร้างการเชื่อมต่อกับ C2 และนอกจากนั้นกลุ่มแฮกเกอร์ยังมีการปล่อยตัว .NET wiper ที่เรียกว่า Apostle ไว้ในเครื่องเป้าหมายอีกด้วย โดย Apostle มีการแก้ไขให้มีส่วนประกอบเป็น ransomware ที่ใช้งานได้ อย่างไรก็ตามทางนักวิจัย เชื่อว่า กลุ่ม Agrius ให้ความสำคัญในการพัฒนาองค์ประกอบในด้านการทำลายล้างของ Ransomware มากกว่าการเข้ารหัสไฟล์เพื่อเรียกค่าไถ่
นักวิจัยกล่าวว่า “เราเชื่อว่าการนำฟังก์ชั่นเข้ารหัสเข้ามาใช้ เพื่อปกปิดความตั้งใจในการทำลายข้อมูลของเหยื่อ” ผลการวิจัยนี้ได้รับการสนับสนุนโดย Apostle รุ่นแรกโดยตั้งชื่อกันว่า wiper-action โดยเวอร์ชั่นก่อนหน้านี้ได้มีความพยายามที่จะปรับใช้การลบข้อมูลแต่ไม่สามารถทำได้เพราะข้อบกพร่องของกระบวนการของมัลแวร์ จึงนำไปสู่การใช้ Deadwood wiper แทน แน่นอนว่าวิธีการทั้งหมดไม่ได้หมายความว่าผู้โจมตีจะไม่ทำการเรียกค่าไถ่จากเหยื่อ
SentinelOne ยังกล่าวอีกว่า “ไม่มีการเชื่อมต่อที่มั่นคงต่อกันระหว่างกลุ่มภัยคุกคาม แต่ว่า กลุ่ม Agrius สนใจปัญหาภายในประเทศอิหร่าน จึงมีการปรับใช้ web shells กับ wiper malware เป็นที่แรก เทคนิคการโจมตีนี้เชื่อมโยงไปถึงกลุ่ม APT ของอิหร่านย้อนหลังไปถึงปี 2002 ซึ่งระบุว่ากลุ่มดังกล่าวน่าจะมีต้นกำเนิดจากประเทศอิหร่าน”
ที่มา : zdnet
You must be logged in to post a comment.