Agrius APT

Οι δραστηριότητες μιας νέας ομάδας χάκερ APT (Advanced Persistent Threat) ήρθαν στο φως σε μια πρόσφατη έκθεση. Οι ερευνητές του infosec έδωσαν στους ηθοποιούς απειλών το όνομα Agrius. Σύμφωνα με τα ευρήματα, αυτή η ομάδα APT δρα στη Μέση Ανατολή και επιτίθεται κατά κύριο λόγο σε ισραηλινούς στόχους.

Ο Agruis προσπάθησε να κρύψει τις πραγματικές του προθέσεις δομώντας τις επιθέσεις ώστε να εμφανίζονται ως παραβιάσεις ransomware με οικονομικά κίνητρα. Από κάτω, ωστόσο, κρύβονταν τα πραγματικά ωφέλιμα φορτία που είχαν αναπτυχθεί στα θύματα - αρκετές απειλές κακόβουλου λογισμικού υαλοκαθαριστήρων που είχαν σχεδιαστεί για να προκαλούν τεράστιες διακοπές στις παραβιασμένες οντότητες. Ένα από τα νέα στελέχη υαλοκαθαριστήρων με το όνομα «Apostle» αναπτύχθηκε αργότερα σε πλήρες ransomware. Ωστόσο, και πάλι, οι ερευνητές πιστεύουν ότι η απειλή εξακολουθούσε να αναπτύσσεται για τις καταστροφικές της ικανότητες και όχι για οικονομικά οφέλη.

Οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) του Agrius APT είναι αρκετά διακριτές ώστε να τις ξεχωρίζουν από όλες τις ήδη καθιερωμένες ομάδες ATP στη σκηνή. Και ενώ δεν υπάρχουν συγκεκριμένοι σύνδεσμοι, έμμεσες αποδείξεις που αποκαλύφθηκαν από τα SentinelLabs δείχνουν ότι η Agrius συνδέεται με το Ιράν.

Εργαλεία κακόβουλου λογισμικού που αναπτύσσονται από το Agrius APT

Για να διατηρήσει την ανωνυμία ενώ ασχολείται με οποιεσδήποτε εφαρμογές που αντιμετωπίζουν το κοινό που αναπτύσσονται στους στοχευμένους οργανισμούς, η Agriuls βασίζεται σε υπηρεσίες VPN όπως το ProtonVPN. Μόλις εισέλθουν στο δίκτυο του θύματος, οι φορείς απειλών αναπτύσσουν παραλλαγές κελύφους Web του ASPXSpy. Σε αυτό το σημείο, η Agrius εξακολουθεί να βασίζεται σε εργαλεία που είναι διαθέσιμα στο κοινό για τη συλλογή διαπιστευτηρίων λογαριασμού και τη μετακίνηση εντός του δικτύου του θύματος πλευρικά.

Εάν οι χάκερ κρίνουν ότι ο στόχος αξίζει, θα κλιμακώσουν την επίθεση και θα προχωρήσουν στην ανάπτυξη των δικών τους εργαλείων κακόβουλου λογισμικού. Αρχικά, θα εκκινηθεί μια κερκόπορτα με το όνομα 'IPsec Helper' γραμμένο σε .NET. Το backdoor θα προσπαθήσει να αποκτήσει επιμονή εγγράφοντας τον εαυτό του ως υπηρεσία. Αυτό το απειλητικό εργαλείο χρησιμοποιείται κυρίως για την εξαγωγή δεδομένων και την παράδοση ωφέλιμων φορτίων επόμενου σταδίου.

Ο πραγματικός στόχος των επιχειρήσεων είναι η ανάπτυξη απειλών υαλοκαθαριστήρων. Ο πρώτος είναι ο προαναφερθείς υαλοκαθαριστήρας 'Απόστολος'. Η απειλή βασίζεται στο 'IPsec Helper' καθώς οι δύο συναρτήσεις κοινής χρήσης, χρησιμοποιούν παρόμοιες μεθόδους για την εκτέλεση εργασιών και είναι γραμμένες σε .NET. Το Apostle τροποποιήθηκε αργότερα αφαιρώντας όλες τις λειτουργίες των υαλοκαθαριστήρων και αντικαθιστώντας τες με δυνατότητες ransomware, πιθανότατα να προκαλέσουν παρόμοια επίπεδα διακοπής στα συστήματα που παραβιάστηκαν, ενώ αποκρύπτονταν καλύτερα οι προθέσεις του Agrius. Η έκδοση ransomware του Apostle χρησιμοποιήθηκε σε μια επίθεση εναντίον μιας εθνικής ιδιοκτησίας εγκατάστασης στα Ηνωμένα Αραβικά Εμιράτα. Ο άλλος υαλοκαθαριστήρας που έχει αναπτυχθεί από το APT ονομάζεται DEADWOOD. Αυτή η απειλή κακόβουλου λογισμικού εντοπίστηκε στο παρελθόν ως μέρος των επιθέσεων σκουπίσματος στη Μέση Ανατολή.