Agrius APT

Agrius APT

Aktivity novej skupiny hackerov APT (Advanced Persistent Threat) boli odhalené v nedávnej správe. Výskumníci z Infosec dali aktérom hrozby meno Agrius. Podľa zistení táto skupina APT pôsobí na Blízkom východe a útočí prevažne na izraelské ciele.

Agruis sa pokúsil zamaskovať svoje skutočné zámery štruktúrovaním útokov tak, aby vyzerali ako finančne motivované porušenia ransomvéru. Pod nimi sa však skrývali skutočné užitočné zaťaženia nasadené obetiam - niekoľko hrozieb škodlivého softvéru stierača, ktoré boli navrhnuté tak, aby spôsobili masívne narušenie napadnutých entít. Jeden z nových kmeňov stieračov s názvom „Apostle“ sa neskôr vyvinul na plnohodnotný ransomvér. Výskumníci sa však opäť domnievajú, že hrozba bola stále nasadená pre jej deštruktívne schopnosti a nie pre finančné zisky.

Taktiky, techniky a postupy (TTP) Agrius APT sú dostatočne odlišné na to, aby sa odlišovali od všetkých už etablovaných skupín ATP na scéne. A hoci neexistujú žiadne konkrétne prepojenia, nepriame dôkazy, ktoré odhalili SentinelLabs, poukazujú na to, že Agrius je spojený s Iránom.

Malvérové nástroje nasadené Agrius APT

Na zachovanie anonymity pri práci s akýmikoľvek verejne prístupnými aplikáciami nasadenými v cieľových organizáciách sa Agriuls spolieha na služby VPN, ako je ProtonVPN. Keď sa aktéri hrozby dostanú do siete obete, nasadia varianty webového shellu ASPXSpy. V tomto bode sa Agrius stále spolieha na verejne dostupné nástroje na získavanie poverení účtu a bočný pohyb v sieti obete.

Ak hackeri považujú cieľ za hodný, eskalujú útok a pokračujú v nasadení svojich vlastných malvérových nástrojov. Najprv sa spustí backdoor s názvom 'IPsec Helper' napísaný v .NET. Backdoor sa pokúsi získať vytrvalosť registráciou ako služby. Tento hrozivý nástroj sa používa hlavne na exfiltráciu dát a doručovanie dát v ďalšej fáze.

Skutočným cieľom operácií je nasadenie stieracích hrozieb. Prvým je spomínaný stierač 'Apoštol'. Hrozba je založená na 'IPsec Helper', keďže tieto dve funkcie zdieľajú, používajú podobné metódy na vykonávanie úloh a sú napísané v .NET. Apostle bol neskôr upravený odstránením všetkých funkcií stieračov a ich nahradením schopnosťami ransomvéru, čo s najväčšou pravdepodobnosťou spôsobí podobnú úroveň narušenia narušených systémov a zároveň lepšie skryje Agriusove zámery. Ransomvérová verzia Apostle bola použitá pri útoku proti národnému zariadeniu v Spojených arabských emirátoch. Ďalší stierač nasadený APT sa volá DEADWOOD. Táto malvérová hrozba bola predtým zistená ako súčasť vymazávacích útokov na Blízkom východe.

Loading...