資安威脅趨勢 - 伊朗駭客Agrius鎖定以色列教育機構、科技產業

-


                                


伊朗駭客Agrius鎖定以色列教育機構、科技產業

一、摘要

        資安業者Palo Alto Networks揭露伊朗駭客組織Agrius(亦稱BlackShadow、Pink Sandstorm、Agonizing Serpens)從今年初開始發起的攻擊行動,其鎖定以色列教育機構以及高科技組織而來,駭客最終的目的有兩種,第一種是竊取個資(PII)以及智慧財產,第二種是透過擦除造成嚴重破壞。


、存在風險

        攻擊者會先針對存在弱點且暴露於網際網路的網頁伺服器下手,取得目標組織網路環境的初始存取權限後,接著部署多個Web Shell,以便持續與目標組織進行活動。

    駭客進到內網後會採用Nbtscan、WinEggDrop和NimScam進行偵查,再利用Minikatz或暴力破解以及密碼噴灑來取得SMB密碼,藉以提升權限,駭客攻擊流程如下:
    
  1. Entry Vector:駭客獲取初始存取權限是利用暴露於網際網路且存在漏洞的網頁伺服器,入侵成功後會部署多個Web Shell。

  2. Reconnaissance:
    • 駭客利用Nbtscan(名為systems.txt)掃描內部網路存的主機。
    • 駭客利用開源軟體WinEggDrop掃描主機端主要的通訊埠,如:445、139、3389。
    • 駭客利用NimScam掃描主機端通訊埠,如:80、81、443。

  3. Credential Stealing:駭客利用三種攻擊手法/工具,嘗試竊取權限,其手法/工具有Mimikatz、SMB密碼噴灑以及SMB暴力破解。

  4. Lateral Movement:駭客在內部進行橫向移動時,會採用Plink(名為system.exe)建立與遠端連接的隧道。

  5. Stealing and Exfiltrating Data:駭客在抹除相關軌跡記錄前,會企圖從資料庫以及重要的伺服器取得資料,並將資料傳送到C2,其採用的工具分別有WinSCP以及Putty
    • Extracting Database Information Using Sqlextractor:此工具是駭客客製化的工具,其名為sql.net4.exe,主要目的是竊取SQL資料庫的PII資料,其資料欄位包含ID numbers、Passport scans、Emails、Full addresses,且資料會以csv檔案方式儲存在C:\windows\temp\s\.。
    • Data Exfiltration Using WinSCP:駭客採用WinSCP竊取環境中的資料。
    • Data Exfiltration Using Pscp.exe:駭客透過此工具pscp.exe (PuTTY Secure Copy Protocol).與C2進行溝通,並將含有.7z和.ezip以及.dmp的檔案傳至C2。

  6. Wiper Payloads:駭客於此階段會將軌跡抹除,並進行具破壞系的攻擊。

        IoC:

  1. Web shells:
    • 1ea4d26a31dad637d697f9fb70b6ed4d75a13d101e02e02bc00200b42353985c
    • 62e36675ed7267536bd980c07570829fe61136e53de3336eebadeca56ab060c2
    • abfde7c29a4a703daa2b8ad2637819147de3a890fdd12da8279de51a3cc0d96d

  2. Nbtscan:
    • 63d51bc3e5cf4068ff04bd3d665c101a003f1d6f52de7366f5a2d9ef5cc041a7

  3. WinEggDrop:
    • 49c3df62c4b62ce8960558daea4a8cf41b11c8f445e218cd257970cf939a3c25

  4. NimScan:
    • dacdb4976fd75ab2fd7bb22f1b2f9d986f5d92c29555ce2b165c020e2816a200
    • e43d66b7a4fa09a0714c573fbe4996770d9d85e31912480e73344124017098f9

  5. Mimikatz:
    • 2a6e3b6e42be2f55f7ab9db9d5790b0cc3f52bee9a1272fc4d79c7c0a3b6abda

  6. ProcDump:
    • 5d1660a53aaf824739d82f703ed580004980d377bdc2834f1041d512e4305d07
    • f4c8369e4de1f12cc5a71eb5586b38fc78a9d8db2b189b8c25ef17a572d4d6b7

  7. Plink:
    • 13d8d4f4fa483111e4372a6925d24e28f3be082a2ea8f44304384982bd692ec9

  8. Sqlextractor:
    • a8e63550b56178ae5198c9cc5b704a8be4c8505fea887792b6d911e488592a7c

  9. Pscp.exe:
    • a112e78e4f8b99b1ceddae44f34692be20ef971944b98e2def995c87d5ae89ee

  10. MultiLayer wiper:
    • 38e406b17715b1b52ed8d8e4defdb5b79a4ddea9a3381a9f2276b00449ec8835
    • f65880ef9fec17da4142850e5e7d40ebfc58671f5d66395809977dd5027a6a3e


  11. PartialWasher Wiper:
    • ec7dc5bfadce28b8a8944fb267642c6f713e5b19a9983d7c6f011ebe0f663097

  12. BFG Agonizer Wiper
    • c52525cd7d05bddb3ee17eb1ad6b5d6670254252b28b18a1451f604dfff932a4

  13. GMER Driver Loader - agmt.exe:
    • 8967c83411cd96b514252df092d8d3eda3f7f2c01b3eef1394901e27465ff981
    • a2d8704b5073cdc059e746d2016afbaecf8546daad3dbfe4833cd3d41ab63898

  14. GMER Driver:
    • 18c909a2b8c5e16821d6ef908f56881aa0ecceeaccb5fa1e54995935fcfd12f7

  15. Rentdrv2 Loader - drvIX.exe
    • 2fb88793f8571209c2fcf1be528ca1d59e7ac62e81e73ebb5a0d77b9d5a09cb8

  16. Rentdrv2 Driver:
    • 9165d4f3036919a96b86d24b64d75d692802c7513f2b3054b20be40c212240a5

  17. 185.105.46[.]34
  18. 185.105.46[.]19
  19. 93.188.207[.]110
  20. 109.237.107[.]212
  21. 217.29.62[.]166
  22. 81.177.22[.]182

        建議改善措施:

  1. 檢視對外開放伺服器之通訊埠是否有以最小原則對外開放存取。
  2. 務必更改預設的管理者帳號與密碼,並使用混合複雜字母、數字與特殊符號的高強度密碼,以免發生使用預設帳號密碼,而遭攻擊者輕易入侵。
  3. 定期更新系統以及進行防毒軟體掃描作業。
  4. 更新IoC於相關資安設備。
  5. 儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。


       情資報告連結:https://unit42.paloaltonetworks.com/agonizing-serpens-targets-israeli-tech-higher-ed-sectors/

這個網誌中的熱門文章

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                             Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼及繞過身份驗證。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                     Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發跨網站指令碼、繞過身份驗證、敏感資料洩露、遠端執行任意程式碼及資料篡改。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                                                     Fortinet 產品存在多個漏洞 一、 摘要             Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發敏感資料洩露、遠端執行任意程式碼及資料篡改 。
閱讀完整內容
-->

案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

-
圖片
  某企業 AD 上百組帳號大量登入失敗導致鎖定事件   一、案例故事 某企業客戶於某日下午發生 Exchange 遭受外部惡意主機大量進行暴力破解攻擊,導致企業內部環境 AD 伺服器短時間內被鎖定一百多筆帳號事件,而該企業也有在 Exchange 的 WebMail 上啟用雙因子認證,還是在短時間內遭受大量暴力破解攻擊,尋求雲智維科技團隊協助。  
閱讀完整內容
-->

資安威脅趨勢 - 醫院遭CrazyHunter勒索軟體持續攻擊

-
圖片
OO醫院遭CrazyHunter勒索軟體持續攻擊 一、 摘要             2025年2月9日至11日, OO醫院、遭受CrazyHunter勒索軟體攻擊,導致超過600台電腦受影響,掛號系統中斷,影響病患就醫。駭客透過AD主機發動攻擊,利用弱密碼取得權限並進行大範圍加密勒索。 二 、存在風險            此次攻擊事件對OO醫院的急診室與掛號系統已受到影響,雖然醫療作業仍可運行,但若攻擊持續,可能導致更大範圍的醫療業務受影響,甚至影響病患的就醫權益。            雖然目前尚未發現病人個資外洩,但勒索軟體的攻擊特性通常涉及數據加密與竊取,醫療數據可能面臨被竊取、加密或公開的風險。            更值得關注的是,駭客已揚言將於2月11日傍晚進一步發動攻擊,顯示此次攻擊可能具有持續性,甚至擴大至其他醫療機構。 攻擊方式 : 透過Active Directory(AD)主機發送惡意程式 弱密碼 漏洞 攻擊取得帳號權限 部署CrazyHunter勒索軟體進行檔案加密 IOC : av-1m.exe  EE854E9F98D0DF34C34551819889336C16B9BFE76E391356CB17B55D59CF28CF av.exe 3B2081042038C870B1A52C5D5BE965B03B8DD1C2E6D1B56E5EBB7CF3C157138D bb.exe  2CC975FDB21F6DD20775AA52C7B3DB6866C50761E22338B08FFC7F7748B2ACAA crazyhunter.exe F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B crazyhunter.sys 5316060745271723C9934047155DAE95A3920CB6343CA08C93531E1C235861BA CrazeHunter.zip D202B3E...
閱讀完整內容
-->

漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

-
圖片
                                                                                                                                                            VMware修補vCenter Server heap-overflow和privilege escalation漏洞 一、 摘要           VMware於本週二(6/18)修補了位於vCenter Server中的3個安全漏洞,其中的CVE-2024-37079與CVE-2024-37080屬於堆積溢位漏洞,可導致遠端程式攻擊,其CVSS風險評分高達9.8,另一個CVE-2024-37081則是本地端權限擴充漏洞,CVSS風險評分為7.8。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                                                                            Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼、洩露敏感資料、繞過身份驗證、篡改及權限提升。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                              Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼及繞過保安限制。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品多個漏洞

-
圖片
                                                                                                                                                                                                                                                                     Fortinet 產品多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻...
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                                                                                                               Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執...
閱讀完整內容
-->