Agrius APT

Agrius APT Apraksts

Jaunā APT (Advanced Persistent Threat) hakeru grupas aktivitātes ir atklātas nesenā ziņojumā. Infosec pētnieki draudu dalībniekiem piešķīra vārdu Agrius. Saskaņā ar atklājumiem šī APT grupa darbojas Tuvajos Austrumos un pārsvarā uzbrūk Izraēlas mērķiem.

Agruis mēģināja maskēt savus patiesos nodomus, strukturējot uzbrukumus tā, lai tie parādītos kā finansiāli motivēti izpirkuma programmatūras pārkāpumi. Tomēr zem tā bija slēpta patiesā upuriem piešķirtā slodze - vairāki tīrītāju ļaunprātīgas programmatūras draudi, kas paredzēti, lai radītu lielus traucējumus apdraudētajām vienībām. Viens no jaunajiem tīrītāju veidiem ar nosaukumu "Apostle" vēlāk tika izstrādāts par pilnvērtīgu izpirkuma programmatūru. Tomēr atkal pētnieki uzskata, ka draudi joprojām tika izmantoti tā destruktīvo spēju dēļ, nevis finansiālas peļņas dēļ.

Agrius APT taktika, paņēmieni un procedūras (TTP) ir pietiekami atšķirīgas, lai tās atšķirtu no visām jau izveidotajām ATP grupām uz skatuves. Un, lai gan nav konkrētu saikņu, SentinelLabs atklātie netiešie pierādījumi liecina, ka Agrius ir saistīts ar Irānu.

Ļaunprātīgas programmatūras rīki, ko izvietojis Agrius APT

Lai saglabātu anonimitāti, vienlaikus strādājot ar publiskajām lietojumprogrammām, kas izvietotas mērķa organizācijās, Agriuls paļaujas uz VPN pakalpojumiem, piemēram, ProtonVPN. Nokļūstot upura tīklā, apdraudējuma dalībnieki izvieto ASPXSpy tīmekļa čaulas variantus. Līdz šim brīdim Agrius joprojām paļaujas uz publiski pieejamiem rīkiem, lai iegūtu konta akreditācijas datus un pārvietotos upura tīklā sāniski.

Ja hakeri uzskatīs mērķi par cienīgu, viņi pastiprinās uzbrukumu un turpinās izvietot savus ļaunprātīgas programmatūras rīkus. Pirmkārt, tiks uzsākta aizmugures durvis ar nosaukumu "IPsec Helper", kas rakstīts .NET. Aizmugurējās durvis mēģinās iegūt noturību, reģistrējoties kā pakalpojumu. Šis apdraudošais rīks galvenokārt tiek izmantots datu izfiltrēšanai un nākamā posma lietderīgās kravas piegādei.

Patiesais operāciju mērķis ir tīrītāju draudu izvietošana. Pirmais ir iepriekšminētais 'Apostle' tīrītājs. Draudi ir balstīti uz "IPsec Helper" kā abām koplietošanas funkcijām, izmanto līdzīgas metodes uzdevumu izpildei un ir rakstītas .NET. Vēlāk Apostle tika pārveidots, noņemot visas tīrītāju funkcijas un aizstājot tās ar izspiedējvīrusu iespējām, kas, visticamāk, izraisīs līdzīga līmeņa traucējumus bojātajās sistēmās, vienlaikus labāk slēpjot Agriusa nodomus. Apostoles izpirkuma programmatūras versija tika izmantota uzbrukumā valstij piederošam objektam Apvienotajos Arābu Emirātos. Otra APT izvietotā tīrītāja nosaukums ir DEADWOOD. Šis ļaunprogrammatūras drauds tika atklāts kā daļa no uzbrukumiem Tuvajos Austrumos iepriekš.