Agrius APT

Dejavnosti nove hekerske skupine APT (Advanced Persistent Threat) so bile razkrite v nedavnem poročilu. Raziskovalci infoseca so akterjem grožnje dali ime Agrius. Glede na ugotovitve ta skupina APT deluje na Bližnjem vzhodu in napada predvsem izraelske cilje.

Agruis je poskušal prikriti svoje resnične namere s strukturiranjem napadov tako, da so videti kot finančno motivirane kršitve odkupovalne programske opreme. Pod njimi pa so se skrivale prave obremenitve, ki so bile razporejene žrtvam - več groženj z zlonamerno programsko opremo brisalcev, ki so bile zasnovane tako, da povzročijo velike motnje ogroženim subjektom. Eden od novih vrst brisalcev z imenom 'Apostle' je bil kasneje razvit v popolno odkupovalno programsko opremo. Vendar pa raziskovalci spet verjamejo, da je bila grožnja še vedno uporabljena zaradi svojih uničujočih zmogljivosti in ne zaradi finančnih koristi.

Taktike, tehnike in postopki (TTP) Agrius APT so dovolj različni, da jih ločijo od vseh že uveljavljenih skupin ATP na sceni. In čeprav ni konkretnih povezav, posredni dokazi, ki jih je odkril SentinelLabs, kažejo, da je Agrius povezan z Iranom.

Orodja za zlonamerno programsko opremo, ki jih je namestil Agrius APT

Agriuls se zanaša na storitve VPN, kot je ProtonVPN, da bi ohranil anonimnost med sodelovanjem z vsemi javnimi aplikacijami, nameščenimi v ciljnih organizacijah. Ko so v omrežju žrtve, akterji grožnje namestijo različice spletne lupine ASPXSpy. Do te točke se Agrius še vedno zanaša na javno dostopna orodja za zbiranje poverilnic računa in bočno premikanje znotraj omrežja žrtve.

Če hekerji menijo, da je cilj vreden, bodo napad stopnjevali in nadaljevali z uporabo lastnih orodij za zlonamerno programsko opremo. Najprej se bo zagnala zadnja vrata z imenom 'IPsec Helper', napisana v .NET. Backdoor bo poskušal pridobiti obstojnost tako, da se registrira kot storitev. To grozeče orodje se uporablja predvsem za ekstrakcijo podatkov in dostavo koristnih tovorov naslednje stopnje.

Pravi cilj operacij je uporaba groženj brisalcev. Prvi je že omenjeni brisalec 'Apostol'. Grožnja temelji na 'IPsec Helper', saj si obe funkciji delita, uporabljata podobne metode za izvajanje nalog in sta napisana v .NET. Apostle je bil pozneje spremenjen tako, da so odstranili vse funkcije brisalcev in jih nadomestili z zmožnostmi izsiljevalske programske opreme, kar je najverjetneje povzročilo podobne ravni motenj v vlomljenih sistemih, hkrati pa bolje skrivalo Agriusove namere. Različica ransomware Apostle je bila uporabljena pri napadu na objekt v državni lasti v Združenih arabskih emiratih. Drugi brisalec, ki ga uporablja APT, se imenuje DEADWOOD. Ta grožnja z zlonamerno programsko opremo je bila predhodno zaznana kot del brisanja napadov na Bližnjem vzhodu.