محققان امنیتی ادعا کردند که یک گروه تهدید مداوم پیشرفته مرتبط با ایران را کشف کرده‌اند که زنجیره جدیدی از حملات باج‌افزاری را با استفاده از نوع جدیدی از بدافزار علیه سازمان‌های اسرائیلی انجام می‌دهد.

محققان شرکت امنیت سایبری چک پوینت نوعی باج‌افزار به نام «Moneybird» پیدا کردند که یادآور کمپین‌های قبلی گروه ایرانی آگریوس (Agrius) است.

آگریوس به دلیل هدف قرار دادن نهادهای مستقر در سرزمین‌های اشغالی با انواع پاک‌کن‌ها، مخفی کردن نفوذها به عنوان حملات باج‌افزاری برای گیج کردن مدافعان، شهرت پیدا کرد.

به گفته محققان چک پوینت، سویه جدید Moneybird ارتقاء حملات قبلی آگریوس است که از بدافزار پاک‌کن سفارشی «Apostle» آن استفاده می‌کرد. ارتقاء نشان دهنده تلاش‌های بی‌وقفه برای توسعه این گروه است. چک پوینت گفته: استفاده از یک باج‌افزار جدید که به زبان C++ نوشته شده قابل توجه است، زیرا توانایی‌های در حال گسترش گروه و تلاش مداوم در توسعه ابزارهای جدید را نشان می‌دهد.

بنابر ادعای محققان، ابزارهای دیگری نیز برای مقاصد مشابه مانند شناسایی، جابجایی جانبی و سرقت اطلاعات و جمع‌آوری اعتبار استفاده می‌شوند. این ابزارها عبارتند از :

• اسکنر شبکه سافت‌پرفکت (SoftPerfect Network Scanner) برای اسکن شبکه‌های داخلی.
• پیوند به ترافیک تونل از «VPS» متعلق به مهاجم.
• «ProcDump» برای تخلیه « LSASS» و اعتبار برداشت.
• «FileZilla» برای استخراج فایل‌های فشرده.

محققان چک پوینت ادعا کردند که عوامل مخرب بیشتر حملات دستی را با استفاده از پروتکل «Remote Desktop»، یک پروتکل ارتباطی شبکه ایمن ارائه شده از سوی مایکروسافت انجام می‌دادند.