Agrius APT

Agrius APT

פעילותה של קבוצת האקרים חדשה של APT (Advanced Persistent Threat) הובאו לידי ביטוי בדוח שנערך לאחרונה. חוקרי ה-infosec העניקו לשחקני האיום את השם Agrius. על פי הממצאים, קבוצת APT זו פועלת במזרח התיכון ותוקפת מטרות ישראליות בעיקר.

אגרויס ניסתה להסוות את כוונותיה האמיתיות על ידי מבנה ההתקפות כך שייראו כהפרות של תוכנות כופר על רקע כלכלי. עם זאת, מתחת, הסתתרו המטענים האמיתיים שנפרסו לקורבנות - כמה איומי תוכנות זדוניות שנועדו לגרום לשיבושים מסיביים לגופים שנפגעו. אחד מזני המגבים החדשים בשם 'שליח' פותח מאוחר יותר לתוכנת כופר מן המניין. עם זאת, שוב, סבורים החוקרים, שהאיום עדיין נפרס בשל יכולותיו ההרסניות ולא לשם רווחים כספיים.

הטקטיקות, הטכניקות והנהלים של Agrius APT (TTPs) מובחנים מספיק כדי להבדיל אותם מכל קבוצות ה-ATP שכבר הוקמה בזירה. ולמרות שאין קשרים קונקרטיים, ראיות נסיבתיות שנחשפו על ידי SentinelLabs מצביעות על קשר של אגריוס לאיראן.

כלי תוכנה זדוניות שנפרסו על ידי Agrius APT

כדי לשמור על אנונימיות תוך כדי עיסוק באפליקציות הפונות לציבור הפרוסות בארגונים הממוקדים, Agriuls מסתמכת על שירותי VPN כגון ProtonVPN. ברגע שהם נכנסים לרשת של הקורבן, שחקני האיומים פורסים וריאציות של מעטפת אינטרנט של ASPXSpy. בשלב זה, Agrius עדיין מסתמכת על כלים זמינים לציבור כדי לאסוף אישורי חשבון ולעבור לרשת של הקורבן לרוחב.

אם ההאקרים יראו שהמטרה ראויה, הם יסלימו את ההתקפה וימשיכו לפרוס כלי תוכנה זדוניות משלהם. ראשית, יופעל דלת אחורית בשם 'IPsec Helper' הכתובה ב-.NET. הדלת האחורית תנסה להשיג התמדה על ידי רישום עצמו כשירות. כלי מאיים זה משמש בעיקר לחילוץ נתונים ואספקת מטענים בשלב הבא.

המטרה האמיתית של המבצעים היא פריסת איומי מגבים. הראשון הוא מגב 'השליח' הנ"ל. האיום מבוסס על ה-'IPsec Helper' שכן שתי הפונקציות משתפות, משתמשות בשיטות דומות לביצוע משימות ונכתבות ב-NET. Apostle שונה מאוחר יותר על ידי הסרת כל פונקציונליות המגב והחלפתן ביכולות של תוכנת כופר, ככל הנראה לגרום לרמות דומות של הפרעות במערכות שנפרצו, תוך הסתרה טובה יותר של כוונותיו של Agrius. גרסת הכופר של Apostle שימשה במתקפה נגד מתקן בבעלות לאומית באיחוד האמירויות הערביות. המגב השני שנפרס על ידי ה-APT נקרא DEADWOOD. איום תוכנה זדונית זו זוהה כחלק ממתקפות מחיקה במזרח התיכון בעבר.

מגמות

טוען...