아그리우스 아파트

새로운 APT(Advanced Persistent Threat) 해커 그룹의 활동이 최근 보고서에서 밝혀졌습니다. 정보 보안 연구원들은 위협 행위자들에게 Agrius라는 이름을 부여했습니다. 조사 결과에 따르면 이 APT 그룹은 중동에서 활동하며 이스라엘 목표물을 주로 공격합니다.

Agruis는 금전적 동기가 있는 랜섬웨어 침해로 보이도록 공격을 구성하여 진정한 의도를 숨기려 했습니다. 그러나 그 밑에는 피해자에게 배포된 실제 페이로드가 숨겨져 있었습니다. 즉, 손상된 엔터티에 대규모 중단을 일으키도록 설계된 여러 와이퍼 맬웨어 위협이었습니다. 'Apostle' 이라는 새로운 와이퍼 변종 중 하나는 나중에 본격적인 랜섬웨어로 개발되었습니다. 그러나 연구원들은 이 위협이 여전히 금전적 이득이 아니라 파괴적인 능력을 위해 배치되었다고 믿습니다.

Agrius APT의 TTP(전술, 기술 및 절차)는 현장에 이미 구축된 모든 ATP 그룹과 구별될 만큼 뚜렷합니다. 그리고 구체적인 연결 고리는 없지만 SentinelLabs에서 발견한 정황 증거는 Agrius가 이란과 제휴하고 있음을 지적합니다.

Agrius APT가 배포한 멀웨어 도구

Agriuls는 대상 조직에 배포된 모든 공개 애플리케이션에 참여하면서 익명성을 유지하기 위해 ProtonVPN과 같은 VPN 서비스에 의존합니다. 일단 피해자의 네트워크에 들어가면 위협 행위자는 ASPXSpy의 웹 셸 변형을 배포합니다. 이 시점까지 Agrius는 계정 자격 증명을 수집하고 측면에서 피해자의 네트워크 내부로 이동하기 위해 여전히 공개적으로 사용 가능한 도구에 의존하고 있습니다.

해커가 표적을 가치 있다고 판단하면 공격을 확대하고 자체 악성 코드 도구를 배포하기 위해 계속 이동합니다. 먼저 .NET으로 작성된 'IPsec Helper'라는 백도어가 시작됩니다. 백도어는 자신을 서비스로 등록하여 지속성을 얻으려고 시도합니다. 이 위협적인 도구는 주로 데이터 유출 및 다음 단계 페이로드 전달에 사용됩니다.

작전의 진정한 목표는 와이퍼 위협의 배치입니다. 첫 번째는 앞서 언급한 '사도' 와이퍼입니다. 위협은 2개의 공유 기능으로 'IPsec Helper'를 기반으로 하며 유사한 방법을 사용하여 작업을 실행하고 .NET으로 작성되었습니다. Apostle은 나중에 모든 와이퍼 기능을 제거하고 랜섬웨어 기능으로 대체하여 수정되었습니다. 이는 Agrius의 의도를 더 잘 숨기면서 침해된 시스템에서 유사한 수준의 중단을 일으킬 가능성이 가장 높습니다. Apostle의 랜섬웨어 버전은 아랍에미리트의 국가 소유 시설에 대한 공격에 사용되었습니다. APT가 배치한 다른 와이퍼의 이름은 DEADWOOD입니다. 이 맬웨어 위협은 이전에 중동에서 공격을 삭제하는 과정에서 탐지되었습니다.