Agrius APT

Działalność nowej grupy hakerów APT (Advanced Persistent Threat) została ujawniona w niedawnym raporcie. Badacze infosec nadali zagrażającym aktorom imię Agrius. Zgodnie z ustaleniami ta grupa APT działa na Bliskim Wschodzie i atakuje głównie cele izraelskie.

Agruis próbował zamaskować swoje prawdziwe intencje, nadając atakom postać ataków motywowanych finansowo do włamań ransomware. Jednak pod spodem ukrywały się prawdziwe ładunki rozmieszczone na ofiarach - kilka zagrożeń związanych ze złośliwym oprogramowaniem typu Wiper, których celem jest spowodowanie ogromnych zakłóceń w zaatakowanych podmiotach. Jeden z nowych szczepów wiper o nazwie „Apostle" został później przekształcony w pełnoprawne oprogramowanie ransomware. Jednak ponownie, badacze uważają, że zagrożenie było nadal stosowane ze względu na swoje destrukcyjne możliwości, a nie w celu osiągnięcia korzyści finansowych.

Taktyka, techniki i procedury (TTP) Agriusa APT są na tyle odmienne, że odróżniają je od wszystkich już ustanowionych grup ATP na scenie. I chociaż nie ma konkretnych powiązań, poszlaki ujawnione przez SentinelLabs wskazują na powiązanie Agriusa z Iranem.

Narzędzia złośliwego oprogramowania wdrożone przez Agrius APT

Aby zachować anonimowość podczas interakcji z publicznymi aplikacjami wdrożonymi w docelowych organizacjach, Agriuls polega na usługach VPN, takich jak ProtonVPN. Po wejściu do sieci ofiary, aktorzy zagrożenia wdrażają odmiany powłoki internetowej ASPXSpy. W tym momencie Agrius nadal polega na publicznie dostępnych narzędziach do zbierania danych uwierzytelniających konta i bocznego przemieszczania się wewnątrz sieci ofiary.

Jeśli hakerzy uznają cel za godny uwagi, eskalują atak i przechodzą do wdrażania własnych złośliwych narzędzi. Najpierw zostanie zainicjowany backdoor o nazwie „IPsec Helper" napisany w .NET. Backdoor będzie próbował uzyskać trwałość, rejestrując się jako usługa. To groźne narzędzie jest używane głównie do eksfiltracji danych i dostarczania ładunków następnego etapu.

Prawdziwym celem operacji jest rozmieszczenie zagrożeń wiper. Pierwsza to wspomniana wycieraczka „Apostoł". Zagrożenie opiera się na „Pomocniku IPsec", ponieważ te dwie funkcje współużytkują, używają podobnych metod do wykonywania zadań i są napisane w .NET. Apostle został później zmodyfikowany przez usunięcie wszystkich funkcji wycieraczek i zastąpienie ich funkcjami ransomware, które najprawdopodobniej spowodują podobny poziom zakłóceń w naruszonych systemach, jednocześnie lepiej ukrywając intencje Agriusa. Wersja Apostle będąca ransomware została użyta w ataku na obiekt w Zjednoczonych Emiratach Arabskich będący własnością państwa. Druga wycieraczka wdrożona przez APT nazywa się DEADWOOD. To zagrożenie złośliwym oprogramowaniem zostało wcześniej wykryte w ramach wymazywania ataków na Bliskim Wschodzie.