Agrius APT

De activiteiten van een nieuwe APT-hackergroep (Advanced Persistent Threat) zijn in een recent rapport aan het licht gebracht. De infosec-onderzoekers gaven de dreigingsactoren de naam Agrius. Volgens de bevindingen opereert deze APT-groep in het Midden-Oosten en valt voornamelijk Israëlische doelen aan.

Agruis probeerde zijn ware bedoelingen te maskeren door de aanvallen zo te structureren dat ze de schijn hadden van financieel gemotiveerde ransomware-inbreuken. Daaronder verborgen echter de werkelijke payloads die naar de slachtoffers werden ingezet - verschillende wiper-malwarebedreigingen die waren ontworpen om enorme verstoringen van de gecompromitteerde entiteiten te veroorzaken. Een van de nieuwe wisserstammen genaamd 'Apostle' werd later ontwikkeld tot volwaardige ransomware. Maar nogmaals, onderzoekers zijn van mening dat de dreiging nog steeds werd ingezet vanwege zijn destructieve vermogens en niet vanwege financiële gewin.

De tactieken, technieken en procedures (TTP's) van Agrius APT zijn duidelijk genoeg om ze te onderscheiden van alle reeds bestaande ATP-groepen ter plaatse. En hoewel er geen concrete verbanden zijn, wijst indirect bewijs dat door SentinelLabs is ontdekt erop dat Agrius gelieerd is aan Iran.

Malwaretools geïmplementeerd door de Agrius APT

Om anonimiteit te behouden tijdens het gebruik van openbare applicaties die op de beoogde organisaties worden geïmplementeerd, vertrouwt Agriuls op VPN-services zoals ProtonVPN. Eenmaal binnen het netwerk van het slachtoffer implementeren de bedreigingsactoren webshell-variaties van ASPXSpy. Op dit punt vertrouwt Agrius nog steeds op openbaar beschikbare tools om accountreferenties te verzamelen en zich lateraal binnen het netwerk van het slachtoffer te verplaatsen.

Als de hackers het doelwit waardig achten, zullen ze de aanval escaleren en hun eigen malwaretools inzetten. Eerst wordt een achterdeur met de naam 'IPsec Helper', geschreven in .NET, gestart. De achterdeur zal proberen doorzettingsvermogen te krijgen door zichzelf te registreren als een dienst. Deze bedreigende tool wordt voornamelijk gebruikt voor het exfiltreren van gegevens en de levering van payloads in de volgende fase.

Het echte doel van de operaties is het inzetten van wiper-dreigingen. De eerste is de eerder genoemde 'Apostel'-wisser. De dreiging is gebaseerd op de 'IPsec Helper' omdat de twee functies delen, vergelijkbare methoden gebruiken om taken uit te voeren en zijn geschreven in .NET. Apostle werd later aangepast door alle wiper-functionaliteiten te verwijderen en te vervangen door ransomwaremogelijkheden, die hoogstwaarschijnlijk vergelijkbare niveaus van verstoring op de geschonden systemen veroorzaakten, terwijl de bedoelingen van Agrius beter verborgen bleven. De ransomwareversie van Apostle werd gebruikt bij een aanval op een nationale faciliteit in de Verenigde Arabische Emiraten. De andere wisser die door de APT wordt ingezet, heet DEADWOOD. Deze malwarebedreiging werd eerder gedetecteerd als onderdeel van het wissen van aanvallen in het Midden-Oosten.