Agrius APT

О деятельности новой хакерской группы APT (Advanced Persistent Threat) стало известно в недавнем отчете. Исследователи информационной безопасности дали злоумышленникам имя Agrius. Согласно полученным данным, эта APT-группа действует на Ближнем Востоке и атакует преимущественно израильские цели.

Agruis попыталась замаскировать свои истинные намерения, структурируя атаки так, чтобы они выглядели как финансово мотивированные взломы программ-вымогателей. Однако под ними скрывалась настоящая полезная нагрузка, развернутая для жертв - несколько вредоносных программ-очистителей, предназначенных для массового нарушения работы скомпрометированных объектов. Один из новых штаммов вайпера, названный «Апостол», позже был превращен в полноценную программу-вымогатель. Однако, опять же, исследователи полагают, что угроза по-прежнему использовалась из-за своих разрушительных возможностей, а не ради финансовой выгоды.

Тактика, приемы и процедуры Agrius APT достаточно различны, чтобы отличать их от всех уже существующих групп ATP. И хотя конкретных ссылок нет, косвенные доказательства, обнаруженные SentinelLabs, указывают на то, что Agrius связан с Ираном.

Средства вредоносного ПО, развертываемые APT Agrius

Чтобы поддерживать анонимность при взаимодействии с любыми общедоступными приложениями, развернутыми в целевых организациях, Agriuls полагается на службы VPN, такие как ProtonVPN. Попав внутрь сети жертвы, злоумышленники развертывают варианты веб-оболочки ASPXSpy. К этому моменту Agrius все еще полагается на общедоступные инструменты для сбора учетных данных и горизонтального перемещения внутри сети жертвы.

Если хакеры сочтут цель достойной, они увеличат атаку и перейдут к развертыванию собственных вредоносных инструментов. Сначала будет запущен бэкдор с именем «IPsec Helper», написанный на .NET. Бэкдор будет пытаться добиться устойчивости, регистрируясь как сервис. Этот угрожающий инструмент используется в основном для кражи данных и доставки полезной нагрузки следующего этапа.

Истинная цель операций - развертывание угроз вайпера. Первый - это уже упомянутый дворник «Апостол». Угроза основана на «помощнике IPsec», поскольку две общие функции используют схожие методы для выполнения задач и написаны на .NET. Позже Apostle был изменен, удалив все функции очистки и заменив их возможностями программ-вымогателей, что, скорее всего, вызовет аналогичный уровень сбоев в взломанных системах, в то же время лучше скрывая намерения Agrius. Версия программы-вымогателя Apostle была использована при атаке на национальный объект в Объединенных Арабских Эмиратах. Другой очиститель, применяемый APT, называется DEADWOOD. Эта вредоносная угроза была обнаружена ранее в рамках атак по очистке данных на Ближнем Востоке.