Agrius APT

Egy új APT (Advanced Persistent Threat) hackercsoport tevékenységére derült fény egy friss jelentésben. Az infosec kutatói az Agrius nevet adták a fenyegetés szereplőinek. A megállapítások szerint ez az APT csoport a Közel-Keleten működik, és túlnyomórészt izraeli célpontokat támad.

Az Agruis megpróbálta elfedni valódi szándékait azzal, hogy a támadásokat úgy strukturálta, hogy azok pénzügyi indíttatású zsarolóprogram-sértésnek tűnjenek. Alatta azonban rejtőzködtek az áldozatok számára kiosztott valódi rakományok – számos törlő rosszindulatú fenyegetés, amelyek célja, hogy hatalmas fennakadásokat okozzanak a kompromittált entitásokban. Az egyik új, „Apostle” nevű törlőtörzsből később teljes értékű ransomware-t fejlesztettek. A kutatók azonban ismét úgy vélik, hogy a fenyegetést továbbra is pusztító képességei miatt vetették be, nem pedig anyagi haszonszerzés céljából.

Az Agrius APT taktikái, technikái és eljárásai (TTP-k) eléggé elkülönülnek ahhoz, hogy megkülönböztessék őket az összes már kialakult ATP csoporttól. És bár nincsenek konkrét összefüggések, a SentinelLabs által feltárt közvetett bizonyítékok arra utalnak, hogy Agrius kapcsolatban áll Iránnal.

Az Agrius APT által telepített rosszindulatú programok

Az Agriuls VPN-szolgáltatásokra, például a ProtonVPN-re támaszkodik, hogy megőrizze névtelenségét, miközben a célszervezeteken telepített nyilvános alkalmazásokkal dolgozik. Az áldozat hálózatába kerülve a fenyegetés szereplői az ASPXSpy webes shell-változatait telepítik. Ekkorra az Agrius még mindig nyilvánosan elérhető eszközökre támaszkodik a fiók hitelesítő adatainak begyűjtéséhez és az áldozat hálózatán belüli oldalirányú mozgáshoz.

Ha a hackerek érdemesnek tartják a célpontot, fokozzák a támadást, és saját kártevő-eszközeiket telepítik. Először egy .NET-ben írt „IPsec Helper” nevű hátsó ajtó indul. A hátsó ajtó megpróbálja kitartani azáltal, hogy szolgáltatásként regisztrálja magát. Ezt a fenyegető eszközt elsősorban az adatok kiszűrésére és a következő fázisú rakományok szállítására használják.

A műveletek valódi célja az ablaktörlő fenyegetések bevetése. Az első a fent említett „Apostle” ablaktörlő. A fenyegetés az „IPsec Helper”-en, mint a két megosztási funkción alapul, hasonló módszereket használ a feladatok végrehajtásához, és .NET-ben íródott. Az Apostle-t később úgy módosították, hogy eltávolították az összes ablaktörlő funkciót, és zsarolóprogram-képességekkel helyettesítették őket, ami nagy valószínűséggel hasonló mértékű zavart okozna a feltört rendszerekben, miközben jobban elrejtette Agrius szándékait. Az Apostle ransomware verzióját egy nemzeti tulajdonú létesítmény elleni támadásban használták az Egyesült Arab Emírségekben. Az APT által telepített másik ablaktörlő neve DEADWOOD. Ezt a kártevő-fenyegetést a közel-keleti támadások részeként észlelték korábban.

Felkapott

Legnézettebb

Betöltés...