Agrius APT

Activitățile unui nou grup de hackeri APT (Advanced Persistent Threat) au fost scoase la lumină într-un raport recent. Cercetătorii infosec au dat actorilor amenințărilor numele de Agrius. Potrivit constatărilor, acest grup APT operează în Orientul Mijlociu și atacă în mod predominant ținte israeliene.

Agruis a încercat să-și mascheze adevăratele intenții structurând atacurile pentru a apărea ca încălcări ale ransomware-ului motivate financiar. Dedesubt, totuși, se ascundeau încărcăturile reale aplicate victimelor - mai multe amenințări malware de ștergere menite să provoace perturbări masive entităților compromise. Una dintre noile tulpini de ștergător numită „Apostle” a fost ulterior dezvoltată într-un ransomware cu drepturi depline. Cu toate acestea, din nou, cercetătorii cred că amenințarea a fost încă implementată pentru capacitățile sale distructive și nu pentru câștiguri financiare.

Tacticile, tehnicile și procedurile (TTP) ale Agrius APT sunt suficient de distincte pentru a le diferenția de toate grupurile ATP deja stabilite pe fața locului. Și, deși nu există legături concrete, dovezile circumstanțiale descoperite de SentinelLabs indică faptul că Agrius este afiliat cu Iranul.

Instrumente malware implementate de Agrius APT

Pentru a menține anonimatul în timp ce interacționează cu orice aplicație publică implementată în organizațiile vizate, Agriuls se bazează pe servicii VPN, cum ar fi ProtonVPN. Odată intrați în rețeaua victimei, actorii amenințărilor implementează variante ale shell Web ale ASPXSpy. Până în acest moment, Agrius se bazează în continuare pe instrumente disponibile public pentru a colecta acreditările contului și a se muta lateral în interiorul rețelei victimei.

Dacă hackerii consideră ținta demnă, ei vor escalada atacul și vor continua să implementeze propriile instrumente malware. Mai întâi, va fi inițiată o ușă din spate numită „IPsec Helper” scris în .NET. Ușa din spate va încerca să câștige persistență înregistrându-se ca serviciu. Acest instrument amenințător este folosit în principal pentru exfiltrarea datelor și livrarea încărcăturilor utile din etapa următoare.

Adevăratul scop al operațiunilor este desfășurarea amenințărilor de ștergere. Primul este ștergătorul „Apostol” menționat mai sus. Amenințarea se bazează pe „IPsec Helper”, deoarece cele două funcții partajează, folosesc metode similare pentru a executa sarcini și sunt scrise în .NET. Ulterior, Apostolul a fost modificat prin eliminarea tuturor funcționalităților ștergătoarelor și înlocuirea lor cu capabilități ransomware, cel mai probabil să provoace niveluri similare de întrerupere a sistemelor încălcate, ascunzând în același timp mai bine intențiile lui Agrius. Versiunea ransomware a lui Apostle a fost folosită într-un atac împotriva unei unități deținute de o țară din Emiratele Arabe Unite. Celălalt ștergător desfășurat de APT se numește DEADWOOD. Această amenințare malware a fost detectată anterior ca parte a atacurilor de ștergere din Orientul Mijlociu.