Apostle Malware

De Apostle Malware is een op maat gemaakte malwarebedreiging die wordt toegeschreven aan de recent opgerichte Agrius APT (Advanced Persistent Threat) -groep. Het belangrijkste doel van Apostle is om zoveel mogelijk verstoring en schade aan de doorbroken systemen te veroorzaken. De dreiging vertoont aanzienlijke overeenkomsten met een andere malwaretool die wordt ingezet door de Agrius- groep: een achterdeur genaamd IPsec Helper. Beide bedreigende tools zijn geschreven in .NET, delen functies en voeren taken op een bijna identieke manier uit.

De hackers bestempelden Apostle als een 'wiper action' en dat was inderdaad het beoogde gedrag van de dreiging. De malware werd ingezet tegen doelen, maar kon de gegevens van het slachtoffer niet wissen vanwege een interne logische fout in de code. Bij latere operaties werd de bug echter niet alleen door Apostle verholpen; het werd omgezet in een krachtige ransomware-bedreiging, waarbij het zijn wisserfunctionaliteiten verloor.

De geëvolueerde versie van Apostle werd gebruikt bij een aanval op een nationale faciliteit in de Verenigde Arabische Emiraten. Hoewel de dreiging een losgeldbriefje achterliet met de typische bepalingen die worden aangetroffen bij ransomwarebedreigingen, zijn de onderzoekers van mening dat dit slechts een front is. Naar alle waarschijnlijkheid is de Agrius APT geen financieel gemotiveerde speler, dus de ransomware-invalshoek is er om hun echte bedoelingen te maskeren. Hoewel er tot nu toe geen concrete verbanden zijn ontdekt, lijkt de hackergroep gelieerd te zijn aan Iran en zijn belangrijkste doelwitten zijn Israëlische entiteiten.