伪装成勒索软件的Data Wiper恶意软件以以色列实体为目标

研究人员周二披露了一项新的间谍活动，该活动至少自2020年12月以来一直以以色列实体为目标，利用破坏性数据擦除攻击，将恶意活动伪装成勒索软件勒索。

网络安全公司SentinelOne将这些攻击归咎于它追踪的一名名名为“Agrius”的伊朗民族国家行为者

研究人员说：“对乍一看似乎是勒索软件攻击的分析显示，在针对以色列目标的一系列破坏性攻击中，部署了新的雨刷变体。”。“袭击背后的运营商故意将他们的活动掩盖为勒索软件袭击，这对于有经济动机的团体来说是一种罕见的行为。”

该组织的运作方式包括部署一个定制的。NET恶意软件Apostle已经演变成一个功能齐全的勒索软件，取代了之前的雨刷功能，而其中一些攻击是在Apostle早期版本中的一个逻辑缺陷阻止数据被擦除后，使用名为DEADWOOD（又名Detbosit）的第二个雨刷进行的。

此外，阿格里乌斯的演员们还投下了一个球。NET implant称为IPsec Helper，可用于过滤数据或部署其他恶意软件。此外，威胁行为人的策略也见证了从间谍活动到向受害者索要赎金的转变，以恢复对加密数据的访问，结果却在一次擦除攻击中被实际销毁。

除了使用ProtNVPN进行匿名化之外，Agrius攻击周期还利用基于web的应用程序（包括CVE-2018-13379）中的1天漏洞获得初始立足点，并随后交付ASPXSpy web Shell，以保持对受损系统的远程访问，并运行任意命令。

如果说有什么区别的话，这项研究进一步证明，与伊朗政府有联系的国家支持的行为者正越来越多地将勒索软件操作视为一种花招，以模仿其他出于财务动机的网络犯罪勒索软件集团。

杜克特甘实验室最近泄露的文件披露了一项名为“信号工程”的计划，该计划将伊朗伊斯兰革命卫队通过一家承包公司与勒索软件操作联系起来。

研究人员说：“勒索软件活动虽然具有破坏性和有效性，但也提供了可否认性，使各州可以在不承担直接责任的情况下发送信息。”。“其他民族国家赞助的行为体也使用了类似的策略，产生了毁灭性的影响。”