Agrius APT

До Mezo през Advanced Persistent Threat (APT)г

Превод на:

Дейностите на нова хакерска група APT (Advanced Persistent Threat) бяха изведени на бял свят в скорошен доклад. Изследователите на Infosec дадоха на заплахите името Агриус. Според констатациите тази група APT действа в Близкия изток и атакува предимно израелски цели.

Agruis се опита да прикрие истинските си намерения, като структурира атаките така, че да изглеждат като финансово мотивирани нарушения на софтуера за откуп. Отдолу обаче се криеха истинските полезни товари, разгърнати на жертвите – няколко заплахи за злонамерен софтуер за почистване, предназначени да причинят огромни смущения на компрометираните субекти. Една от новите щамове на чистачките, наречена „Апостол“, по-късно беше разработена в пълноправен ransomware. Изследователите обаче отново смятат, че заплахата все още е била използвана заради разрушителните си способности, а не за финансови печалби.

Тактиките, техниките и процедурите (TTP) на Agrius APT са достатъчно различни, за да ги разграничат от всички вече установени ATP групи на сцената. И макар да няма конкретни връзки, косвени доказателства, открити от SentinelLabs, сочат, че Агриус е свързан с Иран.

Инструменти за злонамерен софтуер, внедрени от Agrius APT

За да поддържа анонимност, докато се ангажира с всякакви публични приложения, разположени в целевите организации, Agriuls разчита на VPN услуги като ProtonVPN. Веднъж вътре в мрежата на жертвата, участниците в заплахата разгръщат вариации на уеб обвивката на ASPXSpy. До този момент Agrius все още разчита на публично достъпни инструменти за събиране на идентификационни данни за акаунта и странично движение в мрежата на жертвата.

Ако хакерите сметнат целта за достойна, те ще ескалират атаката и ще продължат да внедрят свои собствени инструменти за злонамерен софтуер. Първо, ще бъде стартирана бекдор, наречен "IPsec Helper", написан на .NET. Задната врата ще се опита да спечели постоянство, като се регистрира като услуга. Този заплашителен инструмент се използва главно за ексфилтрация на данни и доставка на полезни товари от следващия етап.

Истинската цел на операциите е разгръщането на заплахи за чистачки. Първата е гореспоменатата чистачка „Апостол“. Заплахата се основава на 'IPsec Helper', тъй като двете споделят функции, използват подобни методи за изпълнение на задачи и са написани в .NET. По-късно Apostle беше модифициран чрез премахване на всички функционалности на чистачките и замяната им с възможности за рансъмуер, което най-вероятно ще доведе до подобни нива на смущения в пробитите системи, като същевременно скрие по-добре намеренията на Agrius. Версията на Ransomware на Apostle беше използвана при атака срещу национално съоръжение в Обединените арабски емирства. Другата чистачка, разгърната от APT, се казва DEADWOOD. Тази заплаха от злонамерен софтуер беше открита като част от атаки за изтриване в Близкия изток преди това.