Agrius APT

تم تسليط الضوء على أنشطة مجموعة جديدة من قراصنة APT (التهديد المستمر المتقدم) في تقرير حديث. أعطى باحثو إنفوسك اسم Agrius لممثلي التهديد. وفقًا للنتائج ، تعمل مجموعة APT هذه في الشرق الأوسط وتهاجم أهدافًا إسرائيلية في الغالب.

حاول Agruis إخفاء نواياه الحقيقية من خلال هيكلة الهجمات لتظهر على أنها انتهاكات لبرامج الفدية ذات الدوافع المالية. ومع ذلك ، تم إخفاء الحمولات الحقيقية التي تم نشرها للضحايا - العديد من تهديدات البرامج الضارة للمسحات المصممة لإحداث اضطرابات هائلة للكيانات المعرضة للخطر. تم تطوير أحد سلالات الماسحات الجديدة المسماة "Apostle" لاحقًا إلى برنامج رانسومواري كامل. ومع ذلك ، يعتقد الباحثون مرة أخرى ، أن التهديد لا يزال منتشرًا لقدراته التدميرية وليس لتحقيق مكاسب مالية.

تكتيكات وتقنيات وإجراءات Agrius APT متميزة بما يكفي لتمييزها عن جميع مجموعات ATP التي تم إنشاؤها بالفعل على الساحة. وعلى الرغم من عدم وجود روابط محددة ، إلا أن الأدلة الظرفية التي كشفت عنها شركة SentinelLabs تشير إلى ارتباط Agrius بإيران.

أدوات البرامج الضارة التي تنشرها Agrius APT

للحفاظ على عدم الكشف عن هويته أثناء التعامل مع أي تطبيقات عامة منتشرة على المؤسسات المستهدفة ، تعتمد Agriuls على خدمات VPN مثل ProtonVPN. بمجرد دخولهم إلى شبكة الضحية ، يقوم المهاجمون بنشر أشكال مختلفة من قشرة الويب من ASPXSpy. بحلول هذه المرحلة ، لا يزال Agrius يعتمد على الأدوات المتاحة للجمهور لحصد بيانات اعتماد الحساب والتحرك داخل شبكة الضحية بشكل جانبي.

إذا اعتبر المتسللون أن الهدف يستحق ذلك ، فسيصعدون الهجوم ويمضون قدما لنشر أدوات البرامج الضارة الخاصة بهم. أولاً ، سيتم بدء تشغيل باب خلفي يسمى "IPsec Helper" مكتوب في .NET. سيحاول الباب الخلفي اكتساب الثبات من خلال تسجيل نفسه كخدمة. تُستخدم أداة التهديد هذه لاستخراج البيانات وتسليم حمولات المرحلة التالية بشكل أساسي.

الهدف الحقيقي للعمليات هو نشر تهديدات المساحات. الأول هو ممسحة "الرسول" المذكورة أعلاه. يعتمد التهديد على "مساعد IPsec" كوظائف مشتركة ، واستخدام أساليب مماثلة لتنفيذ المهام ويتم كتابتها في .NET. تم تعديل Apostle لاحقًا عن طريق إزالة جميع وظائف المساحات واستبدالها بقدرات برامج الفدية ، والتي من المرجح أن تتسبب في مستويات مماثلة من التعطيل للأنظمة المخترقة ، مع إخفاء نوايا Agrius بشكل أفضل. تم استخدام نسخة برنامج الفدية Apostle في هجوم ضد منشأة مملوكة لدولة في الإمارات العربية المتحدة. الماسحة الأخرى التي تم نشرها بواسطة APT تسمى DEADWOOD. تم اكتشاف تهديد البرامج الضارة هذا كجزء من مسح الهجمات في الشرق الأوسط سابقًا.