Agrius APT
فعالیت های یک گروه جدید هکری APT (تهدید پایدار پیشرفته) در گزارش اخیر آشکار شده است. محققان infosec به بازیگران تهدید نام Agrius را دادند. بر اساس یافتهها، این گروه APT در خاورمیانه فعالیت میکند و عمدتاً به اهداف اسرائیلی حمله میکند.
Agruis سعی کرد اهداف واقعی خود را با ساختار دادن به حملات به گونه ای که به عنوان نقض باج افزار با انگیزه مالی ظاهر شوند، پنهان کند. با این حال، در زیر آن، محموله های واقعی مستقر شده برای قربانیان پنهان شده بود - چندین تهدید بدافزار پاک کننده که برای ایجاد اختلالات گسترده در نهادهای در معرض خطر طراحی شده بودند. یکی از گونههای جدید برف پاککنها به نام «رسول» بعداً به باجافزار تمام عیار تبدیل شد. با این حال، دوباره، محققان بر این باورند که این تهدید همچنان به دلیل قابلیت های مخرب آن و نه برای منافع مالی به کار گرفته شده است.
تاکتیکها، تکنیکها و رویههای Agrius APT (TTP) به اندازهای متمایز است که آنها را از همه گروههای ATP که قبلاً در صحنه وجود دارد متمایز کند. و در حالی که هیچ پیوند مشخصی وجود ندارد، شواهد غیرواقعی کشف شده توسط SentinelLabs نشان می دهد که آگریوس به ایران وابسته است.
ابزارهای بدافزار مستقر شده توسط Agrius APT
Agriuls برای حفظ ناشناس بودن در حین درگیر شدن با هر گونه برنامه عمومی مستقر در سازمان های هدف، به خدمات VPN مانند ProtonVPN متکی است. پس از ورود به شبکه قربانی، عوامل تهدید، انواع پوسته وب ASPXSpy را مستقر می کنند. در این مرحله، آگریوس همچنان به ابزارهای در دسترس عموم برای جمع آوری اعتبار حساب و حرکت در داخل شبکه قربانی به صورت جانبی متکی است.
اگر هکرها هدف را شایسته بدانند، حمله را تشدید کرده و به سمت استقرار ابزارهای بدافزار خود حرکت خواهند کرد. ابتدا یک درب پشتی به نام 'IPsec Helper' نوشته شده در دات نت راه اندازی می شود. درپشتی تلاش خواهد کرد تا با ثبت خود به عنوان یک سرویس پایداری به دست آورد. این ابزار تهدید کننده عمدتاً برای استخراج داده ها و تحویل محموله های مرحله بعدی استفاده می شود.
هدف واقعی عملیات، استقرار تهدیدات برف پاک کن است. اولین مورد، برف پاک کن "رسول" فوق الذکر است. این تهدید مبتنی بر "راهنمای IPsec" است که دو تابع اشتراک گذاری هستند، از روش های مشابه برای اجرای وظایف استفاده می کنند و در دات نت نوشته شده اند. Apostle بعداً با حذف همه عملکردهای برف پاک کن و جایگزینی آنها با قابلیت های باج افزار اصلاح شد، که به احتمال زیاد باعث ایجاد سطوح مشابهی از اختلال در سیستم های نقض شده می شود، در حالی که بهتر نیت آگریوس را پنهان می کند. نسخه باج افزار Apostle در حمله به یک مرکز متعلق به کشور در امارات متحده عربی استفاده شد. برف پاک کن دیگری که توسط APT مستقر شده است DEADWOOD نام دارد. این تهدید بدافزار قبلاً به عنوان بخشی از حملات پاکسازی در خاورمیانه شناسایی شده بود.
