Agrius APT

Aktivitetene til en ny APT (Advanced Persistent Threat) hackergruppe har blitt brakt frem i lyset i en fersk rapport. Infosec-forskerne ga trusselaktørene navnet Agrius. I følge funnene opererer denne APT-gruppen i Midtøsten og angriper hovedsakelig israelske mål.

Agruis forsøkte å maskere sine sanne intensjoner ved å strukturere angrepene til å fremstå som økonomisk motiverte løsepengevarebrudd. Under skjulte seg imidlertid de virkelige nyttelastene som ble utplassert til ofrene - flere skadevaretrusler designet for å forårsake massive forstyrrelser for de kompromitterte enhetene. En av de nye viskerstammene kalt 'Apostle' ble senere utviklet til fullverdig løsepengevare. Men igjen, mener forskere, at trusselen fortsatt ble utplassert for sine destruktive evner og ikke for økonomiske gevinster.

Agrius APTs taktikker, teknikker og prosedyrer (TTP) er distinkte nok til å skille dem fra alle de allerede etablerte ATP-gruppene på scenen. Og selv om det ikke er noen konkrete koblinger, peker omstendighetsbevis avdekket av SentinelLabs mot at Agrius er tilknyttet Iran.

Malware-verktøy distribuert av Agrius APT

For å opprettholde anonymiteten mens de engasjerer seg med alle offentlige apper som er distribuert på de målrettede organisasjonene, er Agriuls avhengig av VPN-tjenester som ProtonVPN. En gang inne i offerets nettverk, distribuerer trusselaktørene webskallvarianter av ASPXSpy. På dette tidspunktet er Agrius fortsatt avhengig av offentlig tilgjengelige verktøy for å hente kontolegitimasjon og bevege seg inn i offerets nettverk sideveis.

Hvis hackerne anser målet verdig, vil de eskalere angrepet og gå videre til å distribuere sine egne skadevareverktøy. Først vil en bakdør kalt 'IPsec Helper' skrevet i .NET bli initiert. Bakdøren vil forsøke å få utholdenhet ved å registrere seg selv som en tjeneste. Dette truende verktøyet brukes hovedsakelig til dataeksfiltrering og levering av nyttelast i neste trinn.

Det sanne målet med operasjonene er utplassering av viskertrusler. Den første er den nevnte 'Apostel'-viskeren. Trusselen er basert på 'IPsec Helper' da de to deler funksjoner, bruker lignende metoder for å utføre oppgaver og er skrevet i .NET. Apostle ble senere modifisert ved å fjerne alle viskerfunksjonene og erstatte dem med løsepengevarefunksjoner, mest sannsynlig for å forårsake lignende nivåer av forstyrrelser på de brutte systemene, samtidig som de bedre skjuler Agrius' intensjoner. Ransomware-versjonen av Apostle ble brukt i et angrep mot et nasjonseid anlegg i De forente arabiske emirater. Den andre viskeren utplassert av APT heter DEADWOOD. Denne trusselen mot skadelig programvare ble oppdaget som en del av utsletteangrep i Midtøsten tidligere.