Agrius APT

Les activitats d'un nou grup de pirates informàtics APT (Advanced Persistent Threat) han sortit a la llum en un informe recent. Els investigadors de l'infosec van donar als actors de l'amenaça el nom d'Agrius. Segons les conclusions, aquest grup APT opera a l'Orient Mitjà i ataca principalment objectius israelians.

Agruis va intentar emmascarar les seves veritables intencions estructurant els atacs perquè apareguessin com a incompliments de ransomware motivats econòmicament. A sota, però, s'amagaven les càrregues útils reals desplegades a les víctimes: diverses amenaces de programari maliciós dissenyades per provocar interrupcions massives a les entitats compromeses. Una de les noves varietats d'eixugaparabrises anomenada "Apòstol" es va convertir més tard en un ransomware complet. Tanmateix, de nou, els investigadors creuen que l'amenaça encara es va desplegar per les seves capacitats destructives i no per guanys financers.

Les tàctiques, tècniques i procediments (TTP) d'Agrius APT són prou diferents per diferenciar-los de tots els grups ATP ja establerts a l'escena. I tot i que no hi ha vincles concrets, les proves circumstancials descobertes per SentinelLabs indiquen que Agrius està afiliat a l'Iran.

Eines de programari maliciós desplegades per Agrius APT

Per mantenir l'anonimat mentre es relaciona amb qualsevol aplicació pública desplegada a les organitzacions objectiu, Agriuls es basa en serveis VPN com ProtonVPN. Un cop dins de la xarxa de la víctima, els actors de l'amenaça despleguen variacions de shell web d'ASPXSpy. En aquest moment, Agrius encara confia en eines disponibles públicament per recollir les credencials del compte i moure's lateralment a la xarxa de la víctima.

Si els pirates informàtics consideren que l'objectiu és digne, augmentaran l'atac i passaran a desplegar les seves pròpies eines de programari maliciós. Primer, s'iniciarà una porta posterior anomenada 'IPsec Helper' escrita en .NET. La porta del darrere intentarà guanyar persistència registrant-se com a servei. Aquesta eina amenaçadora s'utilitza principalment per a l'exfiltració de dades i el lliurament de càrregues útils de la següent etapa.

El veritable objectiu de les operacions és el desplegament d'amenaces de neteja. El primer és l'esmentat eixugaparabrises 'Apòstol'. L'amenaça es basa en el 'IPsec Helper', ja que les dues funcions comparteixen, utilitzen mètodes similars per executar tasques i estan escrites en .NET. Apostle es va modificar posteriorment eliminant totes les funcionalitats de neteja i substituint-les per capacitats de ransomware, el més probable és que provoqui nivells similars d'interrupció en els sistemes trencats, alhora que amaga millor les intencions d'Agrius. La versió de ransomware d'Apostle es va utilitzar en un atac contra una instal·lació de propietat nacional als Emirats Àrabs Units. L'altre netejador desplegat per l'APT es diu DEADWOOD. Aquesta amenaça de programari maliciós es va detectar anteriorment com a part d'atacs d'esborrat a l'Orient Mitjà.