Agrius APT

Uuden APT (Advanced Persistent Threat) hakkeriryhmän toiminta on tuotu esille tuoreessa raportissa. Infosec-tutkijat antoivat uhkatoimijoille nimen Agrius. Tulosten mukaan tämä APT-ryhmä toimii Lähi-idässä ja hyökkää pääasiassa israelilaisia kohteita vastaan.

Agruis yritti peittää todelliset aikeensa rakentelemalla hyökkäykset näyttämään taloudellisesti perustelluilta kiristysohjelmien loukkauksilta. Alla oli kuitenkin piilossa uhreille lähetetyt todelliset hyötykuormat - useita pyyhkimishaittaohjelmien uhkia, jotka oli suunniteltu aiheuttamaan valtavia häiriöitä vaarantuneille yksiköille. Yksi uusista pyyhinkannoista nimeltä "Apostle" kehitettiin myöhemmin täysimittaiseksi lunnasohjelmaksi. Tutkijat uskovat kuitenkin jälleen, että uhkaa käytettiin edelleen sen tuhoavien kykyjen vuoksi eikä taloudellisen hyödyn vuoksi.

Agrius APT:n taktiikat, tekniikat ja menettelyt (TTP) ovat riittävän erilaisia erottaakseen ne kaikista jo vakiintuneista ATP-ryhmistä. Ja vaikka konkreettisia yhteyksiä ei ole, SentinelLabsin löytämät satunnaiset todisteet viittaavat siihen, että Agrius on sidoksissa Iraniin.

Agrius APT:n käyttöönottamat haittaohjelmatyökalut

Agriuls luottaa VPN-palveluihin, kuten ProtonVPN:ään, säilyttääkseen nimettömänä käyttäessään kohdeorganisaatioissa käyttöön otettuja julkisia sovelluksia. Päästyään uhrin verkkoon uhkatoimijat ottavat käyttöön ASPXSpyn verkkopohjaisia muunnelmia. Tässä vaiheessa Agrius luottaa edelleen julkisesti saatavilla oleviin työkaluihin kerätäkseen tilitiedot ja liikkuakseen uhrin verkossa sivusuunnassa.

Jos hakkerit pitävät kohdetta arvokkaana, he eskaloivat hyökkäystä ja siirtyvät ottamaan käyttöön omia haittaohjelmatyökalujaan. Ensin käynnistetään .NET:iin kirjoitettu IPsec Helper -niminen takaovi. Takaovi yrittää saada pysyvyyttä rekisteröimällä itsensä palveluksi. Tätä uhkaavaa työkalua käytetään pääasiassa tietojen suodattamiseen ja seuraavan vaiheen hyötykuormien toimittamiseen.

Toiminnan todellinen tavoite on pyyhkimisuhkien käyttöönotto. Ensimmäinen on edellä mainittu "Apostle" pyyhin. Uhka perustuu 'IPsec Helper'iin, koska ne jakavat toiminnot, käyttävät samanlaisia menetelmiä tehtävien suorittamiseen ja on kirjoitettu .NET:iin. Myöhemmin Apostlea muokattiin poistamalla kaikki pyyhkimen toiminnot ja korvaamalla ne kiristysohjelmaominaisuuksilla, mikä todennäköisimmin aiheuttaa samanlaisia häiriöitä rikottuihin järjestelmiin, samalla kun se piilotti paremmin Agriuksen aikomukset. Apostlen ransomware-versiota käytettiin hyökkäyksessä kansallista laitosta vastaan Yhdistyneissä arabiemiirikunnissa. Toinen APT:n käyttämä pyyhin on nimeltään DEADWOOD. Tämä haittaohjelmauhka havaittiin osana Lähi-idän hyökkäyksiä aiemmin.