Agrius APT

Agrius APT Kirjeldus

Värskes raportis on päevavalgele toodud uue APT (Advanced Persistent Threat) häkkerirühma tegevus. Infoseci uurijad andsid ohutegijatele nimeks Agrius. Tulemuste kohaselt tegutseb see APT rühmitus Lähis-Idas ja ründab valdavalt Iisraeli sihtmärke.

Agruis püüdis varjata oma tegelikke kavatsusi, struktureerides rünnakud nii, et need näiksid rahaliselt motiveeritud lunavararikkumistena. Selle all olid aga peidus tegelikud ohvrite jaoks kasutatavad koormad – mitmed puhastite pahavara ohud, mille eesmärk oli tekitada suuri häireid ohustatud üksustes. Üks uudsetest puhastitüvedest nimega "Apostle" töötati hiljem välja täieõiguslikuks lunavaraks. Kuid jällegi usuvad teadlased, et ohtu kasutati ikkagi selle hävitava võime, mitte rahalise kasu saamiseks.

Agriuse APT taktikad, tehnikad ja protseduurid (TTP) on piisavalt erinevad, et eristada neid kõigist juba väljakujunenud ATP rühmadest. Ja kuigi konkreetseid seoseid pole, viitavad SentinelLabsi avastatud kaudsed tõendid sellele, et Agrius on seotud Iraaniga.

Agrius APT juurutatud pahavara tööriistad

Anonüümsuse säilitamiseks sihtorganisatsioonides juurutatud avalike rakendustega suhtlemisel tugineb Agriuls VPN-teenustele, nagu ProtonVPN. Ohvri võrku sattudes juurutavad ohutegijad ASPXSpy veebikesta variatsioonid. Praeguseks hetkeks toetub Agrius endiselt avalikult kättesaadavatele tööriistadele, et koguda konto mandaate ja liikuda ohvri võrgus külgsuunas.

Kui häkkerid peavad sihtmärki vääriliseks, eskaleerivad nad rünnakut ja hakkavad juurutama oma pahavaratööriistu. Esiteks käivitatakse .NET-is kirjutatud tagauks nimega 'IPsec Helper'. Tagauks üritab püsivust saavutada, registreerides end teenusena. Seda ähvardavat tööriista kasutatakse peamiselt andmete eksfiltreerimiseks ja järgmise etapi kasulike koormate kohaletoimetamiseks.

Operatsioonide tegelik eesmärk on klaasipuhastiohtude kasutuselevõtt. Esimene on ülalmainitud "Apostli" klaasipuhasti. Oht põhineb kahel jagamisfunktsioonil IPsec Helperil, mis kasutavad ülesannete täitmiseks sarnaseid meetodeid ja on kirjutatud .NET-i. Hiljem muudeti Apostle'i, eemaldades kõik klaasipuhasti funktsioonid ja asendades need lunavaraga, mis tõenäoliselt põhjustas rikutud süsteemides sarnase taseme häireid, varjates samal ajal paremini Agriuse kavatsusi. Apostli lunavaraversiooni kasutati Araabia Ühendemiraatides asuva riigile kuuluva rajatise vastu suunatud rünnakus. Teise APT poolt kasutusele võetud klaasipuhasti nimi on DEADWOOD. See pahavaraoht tuvastati varem Lähis-Idas toimunud pühkimisrünnakute osana.