هکرهای ایرانی Agrius Group و خطرآفرینی با تسلیحات سایبری به روز
اخبار داغ فناوری اطلاعات و امنیت شبکه
آگریوس، مظنون اصلی گروه تهدید سایبری ایرانی، به تازگی حمله باجافزاری را به دانشگاه بار-ایلان اسرائیل انجام داده است. گزارش شده است که این گروه از نوع جدیدی از باجافزار Apostle استفاده کردهاند.
اطلاعات به دست آمده
به گزارش SentinelLabs، گروه Agrius در روز ۱۵ ماه آگوست یک حمله باجافزاری به دانشگاه اسرائیلی بار-ایلان انجام داده است.
این گروه از نوع جدید و سفارشیسازی و رمزگذاری شده و مبهم Apostle استفاده کرده است. این باجافزار به عنوان یک ریسورس در لودر Jennlog فشرده شده و در قالب فایلهای log ظاهر شده است.
پس از آلودگی، بدافزار نه تنها یادداشت درخواست باج را منتشر میکند، بلکه تصویر یک دلقک را روی تصویر پس زمینه دستگاه قربانی نمایش میدهد!
اتصال Jennlog
لودر Jennlog یک بارگیریکننده .NET است که فایل اجرایی .NET را از ریسورسی که در فایل تعبیه شده است، رفع ابهام نموده، از حالت فشرده خارج کرده و رمزگشایی میکند.
ریسورسی که در لودر قرار دارد به صورت فایلهای لاگ ظاهر میشود که شامل فایلهای باینری جهت اجرا و همچنین پیکربندی مورد نیاز برای اجرای بدافزار است.
پیکربندی Jennlog دارای ۱۳ مقدار است که ۱۲ مورد از آنها در نسخه جدید بدافزار استفاده شده است.
روش انجام عملیات
قبل از اجرای payload باجافزار Apostle، لودر Jennlog ابتدا اطمینان حاصل میکند که بر اساس پیکربندی تعبیه شده در محیط قابل آنالیز اجرا نمیشود.
تجزیه و تحلیل بیشتر لودر Jennlog، نوع دیگری از Jennlog را مشخص کرد که OrcusRAT را لود و اجرا میکند. نوع دیگر بسیار شبیه به نسخه مورد استفاده در بارگذاری باجافزار Apostle است.
نتیجهگیری
گروه Agrius به طور فعال در حال ارتقا تسلیحات سایبری خود برای انجام کارآمد عملیات باجافزاری است. توصیه شده است که تیمها و آژانسهای امنیتی این تهدید را زیر نظر داشته باشند تا بتوانند از هرگونه حمله ناگهانی جلوگیری نمایند.
برچسب ها: Agrius Group, OrcusRAT, Jennlog, Apostle, SentinelLabs, Agrius, Agrius APT, Cybereason, cybersecurity, RAT, ایران, malware, ransomware , اسرائیل, باج افزار, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری