Agrius APT

Aktivity nové skupiny hackerů APT (Advanced Persistent Threat) byly odhaleny v nedávné zprávě. Výzkumníci z Infosec dali aktérům hrozby jméno Agrius. Podle zjištění tato skupina APT působí na Blízkém východě a útočí převážně na izraelské cíle.

Agruis se pokusil zamaskovat své skutečné záměry strukturováním útoků tak, aby vypadaly jako finančně motivované narušení ransomwaru. Pod nimi se však skrývala skutečná užitečná zátěž nasazená na oběti – několik malwarových hrozeb stěračů navržených tak, aby způsobily masivní narušení kompromitovaných entit. Jeden z nových kmenů stěračů s názvem „Apostle“ byl později vyvinut v plnohodnotný ransomware. Výzkumníci se však opět domnívají, že hrozba byla stále nasazena pro své destruktivní schopnosti a nikoli pro finanční zisky.

Taktiky, techniky a postupy (TTP) společnosti Agrius APT jsou dostatečně odlišné, aby je odlišily od všech již zavedených skupin ATP na scéně. A i když neexistují žádné konkrétní vazby, nepřímé důkazy odkryté SentinelLabs ukazují na to, že Agrius je spojen s Íránem.

Malwarové nástroje nasazené Agrius APT

Aby si Agriuls zachoval anonymitu při práci s jakýmikoli veřejně přístupnými aplikacemi nasazenými v cílových organizacích, spoléhá na služby VPN, jako je ProtonVPN. Jakmile se dostanou do sítě oběti, aktéři hrozeb nasadí varianty webového shellu ASPXSpy. V tomto okamžiku se Agrius stále spoléhá na veřejně dostupné nástroje pro získávání přihlašovacích údajů k účtu a laterální přesun do sítě oběti.

Pokud hackeři považují cíl za hodný, eskalují útok a přejdou k nasazení vlastních malwarových nástrojů. Nejprve se spustí backdoor s názvem 'IPsec Helper' napsaný v .NET. Backdoor se pokusí získat stálost registrací jako služby. Tento hrozivý nástroj se používá hlavně k exfiltraci dat a doručování užitečného zatížení v další fázi.

Skutečným cílem operací je nasazení stěračových hrozeb. První je zmíněný stěrač 'Apoštol'. Hrozba je založena na 'IPsec Helper', protože tyto dvě funkce sdílejí, používají podobné metody k provádění úkolů a jsou napsány v .NET. Apostle byl později upraven odstraněním všech funkcí stěračů a jejich nahrazením funkcemi ransomwaru, což s největší pravděpodobností způsobí podobnou úroveň narušení na narušených systémech a zároveň lépe skryje Agriusovy záměry. Verze ransomwaru Apostle byla použita při útoku na národní zařízení ve Spojených arabských emirátech. Další stěrač nasazený APT se jmenuje DEADWOOD. Tato malwarová hrozba byla dříve detekována jako součást likvidačních útoků na Blízkém východě.