Agrius APT
नयाँ APT (Advanced Persistent Threat) ह्याकर समूहका गतिविधिहरू हालैको रिपोर्टमा प्रकाशमा ल्याइएको छ। इन्फोसेक अनुसन्धानकर्ताहरूले धम्की दिने अभिनेताहरूलाई एग्रियस नाम दिए। खोजहरूका अनुसार, यो एपीटी समूह मध्य पूर्वमा सञ्चालन गर्दछ र मुख्य रूपमा इजरायली लक्ष्यहरूमा आक्रमण गर्दछ।
Agruis ले आर्थिक रूपमा उत्प्रेरित ransomware उल्लङ्घनहरूको रूपमा देखा पर्नको लागि आक्रमणहरू संरचना गरेर आफ्नो वास्तविक मनसायलाई मुखौटा गर्ने प्रयास गर्यो। तल, तथापि, पीडितहरूलाई तैनाथ गरिएका वास्तविक पेलोडहरू लुकाउँदै थिए - धेरै वाइपर मालवेयर धम्कीहरू सम्झौता गरिएका संस्थाहरूमा ठूलो अवरोध ल्याउन डिजाइन गरिएको। 'अपोसल' नामको उपन्यास वाइपर स्ट्रेनहरू मध्ये एक पछि पूर्ण ransomware मा विकसित भयो। यद्यपि, फेरि, अन्वेषकहरूले विश्वास गर्छन् कि खतरा अझै पनि यसको विनाशकारी क्षमताहरूको लागि प्रयोग गरिएको थियो र आर्थिक लाभको लागि होइन।
Agrius APT को रणनीति, प्रविधि, र प्रक्रियाहरू (TTPs) दृश्यमा पहिले नै स्थापित सबै ATP समूहहरूबाट अलग सेट गर्न पर्याप्त छन्। र जब त्यहाँ कुनै ठोस लिङ्कहरू छैनन्, SentinelLabs द्वारा खुलासा गरिएको परिस्थितिजन्य प्रमाणले Agrius को इरानसँग सम्बद्ध भएको तर्फ औंल्याउँछ।
Agrius APT द्वारा तैनात मालवेयर उपकरण
लक्षित संस्थाहरूमा तैनाथ गरिएका कुनै पनि सार्वजनिक-अनुहार अनुप्रयोगहरूसँग संलग्न हुँदा अज्ञातता कायम राख्न, Agriuls VPN सेवाहरू जस्तै ProtonVPN मा निर्भर गर्दछ। एक पटक पीडितको नेटवर्क भित्र, खतरा अभिनेताहरूले ASPXSpy को वेब शेल भिन्नताहरू प्रयोग गर्छन्। यस बिन्दुमा, Agrius अझै पनि खाता प्रमाणहरू कटनी गर्न र पीडितको नेटवर्क भित्र पछाडि सार्न सार्वजनिक रूपमा उपलब्ध उपकरणहरूमा निर्भर छ।
यदि ह्याकरहरूले लक्ष्यलाई योग्य ठान्छन् भने, तिनीहरूले आक्रमण बढाउनेछन् र आफ्नै मालवेयर उपकरणहरू प्रयोग गर्न अगाडि बढ्नेछन्। पहिले, .NET मा लेखिएको 'IPsec Helper' नामक ब्याकडोर सुरु गरिनेछ। ब्याकडोरले आफूलाई सेवाको रूपमा दर्ता गरेर दृढता प्राप्त गर्ने प्रयास गर्नेछ। यो धम्की दिने उपकरण मुख्यतया डाटा एक्सफिल्टेशन र अर्को चरणको पेलोडहरूको डेलिभरीको लागि प्रयोग गरिन्छ।
अपरेसनहरूको वास्तविक लक्ष्य वाइपर खतराहरूको तैनाती हो। पहिलो माथि उल्लेखित 'प्रेषित' वाइपर हो। धम्की 'IPsec हेल्पर' मा आधारित छ जसमा दुई साझा प्रकार्यहरू छन्, कार्यहरू कार्यान्वयन गर्न समान विधिहरू प्रयोग गर्नुहोस् र .NET मा लेखिएको छ। Apostle पछि सबै वाइपर प्रकार्यताहरू हटाएर र ransomware क्षमताहरूसँग प्रतिस्थापन गरेर परिमार्जन गरिएको थियो, सम्भवतः उल्लङ्घन गरिएका प्रणालीहरूमा समान स्तरको अवरोध निम्त्याउन सक्छ, जबकि अझ राम्रो Agrius को मनसाय लुकाएर। Apostle को ransomware संस्करण संयुक्त अरब इमिरेट्स मा एक राष्ट्र-स्वामित्व सुविधा विरुद्ध आक्रमण मा प्रयोग गरिएको थियो। APT द्वारा प्रयोग गरिएको अर्को वाइपरलाई DEADWOOD नाम दिइएको छ। यो मालवेयर खतरा पहिले मध्य पूर्वमा आक्रमणहरू सफा गर्ने भागको रूपमा पत्ता लगाइएको थियो।
