Agrius APT

Aktiviteterne i en ny APT-gruppe (Advanced Persistent Threat) -hacker er blevet belyst i en nylig rapport. Infosec-forskerne gav trusselsaktørerne navnet Agrius. Ifølge resultaterne opererer denne APT-gruppe i Mellemøsten og angriber overvejende israelske mål.

Agruis forsøgte at skjule sine sande intentioner ved at strukturere angrebene til at fremstå som økonomisk motiverede ransomware-overtrædelser. Nedenunder skjulte de reelle nyttelast, der blev udsendt til ofrene - adskillige trusler om malware-wiper-malware designet til at forårsage massive forstyrrelser for de kompromitterede enheder. En af de nye viskerstammer med navnet 'Apostle' blev senere udviklet til fuldgyldig ransomware. Imidlertid mener forskere igen, at truslen stadig blev anvendt for dens destruktive kapacitet og ikke for økonomiske gevinster.

Agrius APTs taktik, teknikker og procedurer (TTP'er) er forskellige nok til at adskille dem fra alle de allerede etablerede ATP-grupper på scenen. Og mens der ikke er nogen konkrete forbindelser, peger omstændighedsbeviser afsløret af SentinelLabs mod Agrius, der er tilknyttet Iran.

Malware-værktøjer implementeret af Agrius APT

For at opretholde anonymitet, mens man arbejder med offentlige applikationer, der anvendes på de målrettede organisationer, er Agriuls afhængig af VPN-tjenester såsom ProtonVPN. Når de er inde i offerets netværk, implementerer trusselsaktørerne web-shell-variationer af ASPXSpy. På dette tidspunkt stoler Agrius stadig på offentligt tilgængelige værktøjer til at høste kontooplysninger og bevæge sig ind i offerets netværk lateralt.

Hvis hackerne finder målet værdig, eskalerer de angrebet og fortsætter med at implementere deres egne malware-værktøjer. Først startes en bagdør med navnet 'IPsec Helper' skrevet i .NET. Bagdøren forsøger at få vedholdenhed ved at registrere sig selv som en tjeneste. Dette truende værktøj bruges hovedsagelig til dataeksfiltrering og levering af nyttelast i næste trin.

Det sande mål med operationerne er implementeringen af trusler om visker. Den første er den førnævnte 'apostel' visker. Truslen er baseret på 'IPsec Helper' som de to delingsfunktioner, bruger lignende metoder til at udføre opgaver og er skrevet i .NET. Apostlen blev senere ændret ved at fjerne alle viskerfunktionaliteterne og erstatte dem med ransomware-kapaciteter, hvilket sandsynligvis ville medføre lignende forstyrrelsesniveauer på de brudte systemer, mens Agrius 'hensigter bedre skjulte. Ransomware-versionen af Apostle blev brugt i et angreb mod et nationsejet anlæg i De Forenede Arabiske Emirater. Den anden visker, der er indsat af APT, hedder DEADWOOD. Denne malware-trussel blev opdaget som en del af sletning af angreb i Mellemøsten tidligere.