Agrius APT

Agrius APT

Naujausioje ataskaitoje buvo atskleista naujos APT (Advanced Persistent Threat) įsilaužėlių grupės veikla. Infosec tyrėjai grėsmės veikėjams suteikė Agriaus vardą. Remiantis išvadomis, ši APT grupė veikia Artimuosiuose Rytuose ir daugiausia atakuoja Izraelio taikinius.

Agruis bandė užmaskuoti savo tikruosius ketinimus struktūrizuodamas atakas taip, kad jos atrodytų kaip finansiškai motyvuoti išpirkos reikalaujančių programų pažeidimai. Tačiau apačioje buvo paslėpti tikrieji aukoms panaudoti kroviniai – keletas valytuvų kenkėjiškų programų, skirtų sukelti didžiulius sutrikimus pažeistiems subjektams. Viena iš naujų valytuvų atmainų, pavadinta „Apostle“, vėliau buvo išplėtota į visavertę išpirkos programą. Tačiau vėlgi, mokslininkai mano, kad grėsmė vis tiek buvo panaudota dėl jos destruktyvių galimybių, o ne dėl finansinės naudos.

„Agrius APT“ taktika, metodai ir procedūros (TTP) yra pakankamai skirtingos, kad išskirtų juos iš visų scenoje jau sukurtų ATP grupių. Ir nors konkrečių sąsajų nėra, „SentinelLabs“ atskleisti netiesioginiai įrodymai rodo, kad „Agrius“ yra susijęs su Iranu.

Kenkėjiškų programų įrankiai, kuriuos įdiegė „Agrius APT“.

Siekdama išlaikyti anonimiškumą bendraudama su bet kokiomis tikslinėse organizacijose įdiegtomis visuomenei skirtomis programomis, „Agriuls“ remiasi VPN paslaugomis, tokiomis kaip „ProtonVPN“. Patekę į aukos tinklą, grėsmės veikėjai diegia ASPXSpy žiniatinklio apvalkalo variantus. Šiuo metu Agrius vis dar pasikliauja viešai prieinamais įrankiais, kad surinktų paskyros kredencialus ir judėtų aukos tinkle į šoną.

Jei įsilaužėliai mano, kad taikinys vertas, jie eskaluos ataką ir pradės diegti savo kenkėjiškų programų įrankius. Pirmiausia bus paleistos užpakalinės durys, pavadintos „IPsec Helper“, parašytos .NET. Užpakalinės durys bandys įgyti atkaklumo užsiregistruodamos kaip paslauga. Šis grėsmingas įrankis daugiausia naudojamas duomenų išfiltravimui ir naujos pakopos naudingųjų krovinių pristatymui.

Tikrasis operacijų tikslas yra valytuvų grėsmių dislokavimas. Pirmasis yra jau minėtas „Apostle“ valytuvas. Grėsmė grindžiama „IPsec Helper“, nes dvi bendrinimo funkcijos, naudoja panašius metodus užduotims vykdyti ir yra parašytos .NET. Vėliau „Apostle“ buvo modifikuotas pašalinant visas valytuvų funkcijas ir pakeičiant jas išpirkos reikalaujančiomis programomis, kurios greičiausiai sukels panašaus lygio sutrikimus pažeistose sistemose, tuo pačiu geriau slepiant Agrius ketinimus. Išpirkos reikalaujanti „Apostle“ versija buvo panaudota atakuojant tautai priklausančią įstaigą Jungtiniuose Arabų Emyratuose. Kitas APT įdiegtas valytuvas pavadintas DEADWOOD. Ši kenkėjiškų programų grėsmė anksčiau buvo aptikta kaip dalis panaikinimo atakų Artimuosiuose Rytuose.

Trending

Loading...