Agrius APT

Agrius APT

Aktivnosti nove hakerske grupe APT (Advanced Persistent Threat) otkrivene su u nedavnom izvješću. Istraživači infoseca dali su akterima prijetnje ime Agrius. Prema nalazima, ova APT skupina djeluje na Bliskom istoku i napada pretežno izraelske ciljeve.

Agruis je pokušao prikriti svoje prave namjere strukturirajući napade tako da izgledaju kao financijski motivirana kršenja ransomwarea. Ispod su se, međutim, skrivali pravi tereti raspoređeni na žrtve - nekoliko prijetnji zlonamjernog softvera za brisanje osmišljenih da izazovu velike poremećaje ugroženim entitetima. Jedan od novih vrsta brisača pod nazivom 'Apostol' kasnije je razvijen u punopravni ransomware. Međutim, opet, vjeruju istraživači, da je prijetnja još uvijek bila raspoređena zbog svojih destruktivnih sposobnosti, a ne radi financijske dobiti.

Agriusove taktike, tehnike i procedure (TTP) dovoljno su različite da ih odvoje od svih već uspostavljenih ATP grupa na sceni. I dok nema konkretnih poveznica, posredni dokazi koje je otkrio SentinelLabs ukazuju na to da je Agrius povezan s Iranom.

Alati za zlonamjerni softver koje je implementirao Agrius APT

Kako bi zadržao anonimnost dok se bavi bilo kojim javnim aplikacijama koje su raspoređene u ciljanim organizacijama, Agriuls se oslanja na VPN usluge kao što je ProtonVPN. Jednom u mreži žrtve, akteri prijetnje postavljaju varijacije web ljuske ASPXSpy. Do ovog trenutka, Agrius se još uvijek oslanja na javno dostupne alate za prikupljanje vjerodajnica računa i bočno kretanje unutar mreže žrtve.

Ako hakeri smatraju da je cilj vrijedan, eskalirati će napad i krenuti s implementacijom vlastitih zlonamjernih alata. Prvo će se pokrenuti backdoor pod nazivom 'IPsec Helper' napisan u .NET-u. Backdoor će pokušati dobiti postojanost tako što će se registrirati kao usluga. Ovaj prijeteći alat koristi se uglavnom za eksfiltraciju podataka i isporuku korisnih tereta sljedeće faze.

Pravi cilj operacija je razmještanje prijetnji brisačima. Prvi je već spomenuti 'Apostol' brisač. Prijetnja se temelji na 'IPsec Helper-u' jer dvije dijele funkcije, koriste slične metode za izvršavanje zadataka i napisane su u .NET-u. Apostle je kasnije modificiran uklanjanjem svih funkcionalnosti brisača i njihovom zamjenom mogućnostima ransomwarea, što će najvjerojatnije uzrokovati slične razine poremećaja na probijenim sustavima, a pritom bolje skrivati Agriusove namjere. Ransomware verzija Apostlea korištena je u napadu na objekt u državnom vlasništvu u Ujedinjenim Arapskim Emiratima. Drugi brisač koji je aktivirao APT zove se DEADWOOD. Ova prijetnja zlonamjernog softvera otkrivena je kao dio prethodnog brisanja napada na Bliskom istoku.

Loading...