Agrius APT

Agrius APT

Aktiviti kumpulan penggodam APT (Advanced Persistent Threat) baharu telah didedahkan dalam laporan baru-baru ini. Penyelidik infosec memberi nama pelakon ancaman Agrius. Menurut penemuan, kumpulan APT ini beroperasi di Timur Tengah dan kebanyakannya menyerang sasaran Israel.

Agruis cuba menyembunyikan niat sebenarnya dengan menstrukturkan serangan untuk kelihatan sebagai pelanggaran perisian tebusan yang bermotifkan kewangan. Walau bagaimanapun, di bawahnya menyembunyikan muatan sebenar yang digunakan kepada mangsa - beberapa ancaman perisian hasad pengelap yang direka untuk menyebabkan gangguan besar-besaran kepada entiti yang terjejas. Salah satu daripada rangkaian pengelap novel bernama 'Apostle' kemudiannya dibangunkan menjadi perisian tebusan sepenuhnya. Walau bagaimanapun, sekali lagi, penyelidik percaya, bahawa ancaman itu masih digunakan untuk keupayaan yang merosakkan dan bukan untuk keuntungan kewangan.

Taktik, teknik dan prosedur (TTP) Agrius APT cukup berbeza untuk membezakannya daripada semua kumpulan ATP yang sedia ada di tempat kejadian. Dan walaupun tiada kaitan konkrit, bukti mengikut keadaan yang ditemui oleh SentinelLabs menunjukkan ke arah Agrius bergabung dengan Iran.

Alat Hasad Digunakan oleh Agrius APT

Untuk mengekalkan kerahsiaan semasa terlibat dengan mana-mana aplikasi yang dihadapi awam yang digunakan pada organisasi yang disasarkan, Agriuls bergantung pada perkhidmatan VPN seperti ProtonVPN. Sebaik sahaja berada di dalam rangkaian mangsa, pelaku ancaman menggunakan variasi cangkang Web ASPXSpy. Pada ketika ini, Agrius masih bergantung pada alat yang tersedia secara terbuka untuk menuai kelayakan akaun dan bergerak ke dalam rangkaian mangsa secara menyamping.

Jika penggodam menganggap sasaran itu layak, mereka akan meningkatkan serangan dan meneruskan untuk menggunakan alat perisian hasad mereka sendiri. Mula-mula, pintu belakang bernama 'IPsec Helper' yang ditulis dalam .NET akan dimulakan. Pintu belakang akan cuba mendapatkan kegigihan dengan mendaftarkan dirinya sebagai perkhidmatan. Alat yang mengancam ini digunakan untuk exfiltration data dan penghantaran muatan peringkat seterusnya terutamanya.

Matlamat sebenar operasi ialah penggunaan ancaman pengelap. Yang pertama ialah pengelap 'Rasul' yang disebutkan tadi. Ancaman adalah berdasarkan 'Pembantu IPsec' kerana kedua-dua fungsi perkongsian, menggunakan kaedah yang sama untuk melaksanakan tugas dan ditulis dalam .NET. Apostle kemudiannya diubah suai dengan mengalih keluar semua fungsi pengelap dan menggantikannya dengan keupayaan perisian tebusan, kemungkinan besar akan menyebabkan tahap gangguan yang sama pada sistem yang dilanggar, sambil menyembunyikan niat Agrius dengan lebih baik. Versi ransomware Apostle digunakan dalam serangan terhadap kemudahan milik negara di Emiriah Arab Bersatu. Pengelap lain yang digunakan oleh APT dinamakan DEADWOOD. Ancaman perisian hasad ini dikesan sebagai sebahagian daripada serangan penghapusan di Timur Tengah sebelum ini.

Loading...