Agrius APT

Le attività di un nuovo gruppo di hacker APT (Advanced Persistent Threat) sono state portate alla luce in un recente rapporto. I ricercatori di infosec hanno dato agli attori della minaccia il nome Agrius. Secondo i risultati, questo gruppo APT opera in Medio Oriente e attacca prevalentemente obiettivi israeliani.

Agruis ha tentato di mascherare le sue vere intenzioni strutturando gli attacchi in modo che sembrassero violazioni di ransomware motivate finanziariamente. Sotto, tuttavia, si nascondevano i veri payload distribuiti alle vittime: diverse minacce di malware wiper progettate per causare massicce interruzioni alle entità compromesse. Uno dei nuovi ceppi di tergicristalli denominati "Apostle" è stato successivamente sviluppato in ransomware a tutti gli effetti. Tuttavia, ancora una volta, i ricercatori ritengono che la minaccia fosse ancora dispiegata per le sue capacità distruttive e non per guadagni finanziari.

Le tattiche, le tecniche e le procedure (TTP) di Agrius APT sono abbastanza distinte da distinguerle da tutti i gruppi ATP già affermati sulla scena. E sebbene non ci siano collegamenti concreti, le prove circostanziali scoperte da SentinelLabs indicano che Agrius è affiliato con l'Iran.

Strumenti malware distribuiti da Agrius APT

Per mantenere l'anonimato mentre interagisce con tutte le applicazioni rivolte al pubblico distribuite nelle organizzazioni target, Agriuls si affida a servizi VPN come ProtonVPN. Una volta all'interno della rete della vittima, gli attori della minaccia distribuiscono le varianti della shell Web di ASPXSpy. A questo punto, Agrius fa ancora affidamento su strumenti pubblicamente disponibili per raccogliere le credenziali dell'account e spostarsi lateralmente all'interno della rete della vittima.

Se gli hacker ritengono il bersaglio degno, intensificheranno l'attacco e passeranno a distribuire i propri strumenti malware. Innanzitutto, verrà avviata una backdoor denominata "IPsec Helper" scritta in .NET. La backdoor tenterà di ottenere persistenza registrandosi come servizio. Questo strumento minaccioso viene utilizzato principalmente per l'esfiltrazione dei dati e la consegna dei carichi utili della fase successiva.

Il vero obiettivo delle operazioni è il dispiegamento di minacce wiper. Il primo è il suddetto tergicristallo "Apostolo". La minaccia si basa su "IPsec Helper" poiché le due funzioni di condivisione, utilizzano metodi simili per eseguire attività e sono scritte in .NET. Apostle è stato successivamente modificato rimuovendo tutte le funzionalità wiper e sostituendole con funzionalità ransomware, che molto probabilmente causarono livelli simili di interruzione sui sistemi violati, nascondendo meglio le intenzioni di Agrius. La versione ransomware di Apostle è stata utilizzata in un attacco contro una struttura di proprietà nazionale negli Emirati Arabi Uniti. L'altro tergicristallo utilizzato dall'APT si chiama DEADWOOD. Questa minaccia malware è stata rilevata in precedenza come parte di attacchi di cancellazione in Medio Oriente.