Agrius APT

Descrição do Agrius APT

As atividades de um novo grupo de hackers, o APT (Advanced Persistent Threat) foram trazidas à luz em um relatório recente. Os pesquisadores de infosec deram aos atores da ameaça o nome de Agrius. De acordo com as descobertas, este grupo APT opera no Oriente Médio e ataca alvos israelenses predominantemente.

O Agruis tentou mascarar as suas verdadeiras intençõe, estruturando os ataques para que parecessem violações de ransomware com motivação financeira. Por baixo, no entanto, estavam escondidas as cargas úteis reais implantadas para as vítimas - várias ameaças de malware wiper projetadas para causar interrupções massivas nas entidades comprometidas. Uma das novas cepas de limpador chamada 'Apostle' foi posteriormente desenvolvida em um ransomware completo. No entanto, mais uma vez, os pesquisadores acreditam que a ameaça ainda foi implantada por suas capacidades destrutivas e não para ganhos financeiros.

As táticas, técnicas e procedimentos (TTPs) do APT Agrius são distintos o suficiente para diferenciá-los de todos os grupos ATP já estabelecidos na cena. E embora não haja ligações concretas, evidências circunstanciais descobertas pelo SentinelLabs apontam para Agrius ser afiliado ao Irã.

Ferramentas de malware implantadas pelo Agrius APT

Para manter o anonimato enquanto se engaja com quaisquer aplicativos voltados ao público implantados nas organizações-alvo, a Agriuls depende de serviços VPN como o ProtonVPN. Uma vez dentro da rede da vítima, os agentes de ameaças implantam variações de shell da Web do ASPXSpy. Neste ponto, Agrius ainda está contando com ferramentas publicamente disponíveis para colher credenciais de conta e mover-se lateralmente dentro da rede da vítima.

Se os hackers considerarem o alvo digno, eles escalarão o ataque e seguirão em frente para implantar suas próprias ferramentas de malware. Primeiro, um backdoor chamado 'IPsec Helper' escrito em .NET será iniciado. O backdoor tentará ganhar persistência registrando-se como um serviço. Essa ferramenta ameaçadora é usada principalmente para exfiltração de dados e entrega de cargas úteis de próximo estágio.

O verdadeiro objetivo das operações é a implantação de wipers. O primeiro é o wiper 'Apostle' mencionado acima. A ameaça é baseada no 'IPsec Helper' como as duas funções compartilhadas, usam métodos semelhantes para executar tarefas e são gravadas em .NET. O Apostle foi modificado posteriormente, removendo todas as funcionalidades do limpador e substituindo-as por recursos de ransomware, provavelmente para causar níveis semelhantes de interrupção nos sistemas violados, enquanto esconde melhor as intenções de Agrius. A versão ransomware do Apostle foi usada em um ataque contra uma instalação de propriedade nacional nos Emirados Árabes Unidos. O outro limpador implantado pelo APT é denominado DEADWOOD. Essa ameaça de malware foi detectada anteriormente como parte de ataques de limpeza no Oriente Médio.