Agrius APT

Aktivitetet e një grupi të ri hakerash APT (Kërcënimi i Përparuar i Përparuar) janë nxjerrë në dritë në një raport të fundit. Studiuesit e infosec u dhanë aktorëve të kërcënimit emrin Agrius. Sipas gjetjeve, ky grup APT vepron në Lindjen e Mesme dhe sulmon objektivat izraelite kryesisht.

Agruis u përpoq të maskonte qëllimet e tij të vërteta duke i strukturuar sulmet që të shfaqeshin si shkelje të ransomware të motivuara financiarisht. Megjithatë, poshtë fshiheshin ngarkesat reale të vendosura për viktimat - disa kërcënime malware për fshirësit e krijuar për të shkaktuar ndërprerje masive për entitetet e komprometuara. Një nga llojet e reja të fshirëseve të quajtur 'Apostle' u zhvillua më vonë në ransomware të plotë. Megjithatë, përsëri, studiuesit besojnë se kërcënimi ishte ende i vendosur për aftësitë e tij shkatërruese dhe jo për përfitime financiare.

Taktikat, teknikat dhe procedurat e Agrius APT (TTP) janë mjaft të dallueshme për t'i veçuar ato nga të gjitha grupet tashmë të krijuara ATP në skenë. Dhe ndërsa nuk ka lidhje konkrete, provat rrethanore të zbuluara nga SentinelLabs tregojnë se Agrius është i lidhur me Iranin.

Mjetet e malware të vendosura nga Agrius APT

Për të ruajtur anonimitetin ndërsa angazhohet me çdo aplikacion me pamje publike të vendosur në organizatat e synuara, Agriuls mbështetet në shërbimet VPN si ProtonVPN. Pasi hyjnë në rrjetin e viktimës, aktorët e kërcënimit vendosin variacione të predhave të uebit të ASPXSpy. Deri në këtë pikë, Agrius është ende duke u mbështetur në mjetet e disponueshme publikisht për të mbledhur kredencialet e llogarisë dhe për të lëvizur brenda rrjetit të viktimës anash.

Nëse hakerët e konsiderojnë objektivin të denjë, ata do të përshkallëzojnë sulmin dhe do të vazhdojnë të vendosin mjetet e tyre të malware. Së pari, do të inicohet një backdoor i quajtur 'IPsec Helper' i shkruar në .NET. Backdoor do të përpiqet të fitojë këmbëngulje duke e regjistruar veten si një shërbim. Ky mjet kërcënues përdoret kryesisht për nxjerrjen e të dhënave dhe shpërndarjen e ngarkesave në fazën tjetër.

Qëllimi i vërtetë i operacioneve është vendosja e kërcënimeve me fshirëse. E para është fshirësja e lartpërmendur 'Apostle'. Kërcënimi bazohet në 'IPsec Helper' pasi dy funksionet e përbashkëta, përdorin metoda të ngjashme për të ekzekutuar detyrat dhe janë të shkruara në .NET. Apostle u modifikua më vonë duke hequr të gjitha funksionalitetet e fshirëseve dhe duke i zëvendësuar ato me aftësi ransomware, me shumë gjasa që të shkaktonte nivele të ngjashme ndërprerjesh në sistemet e shkelura, duke fshehur më mirë qëllimet e Agrius. Versioni ransomware i Apostle u përdor në një sulm kundër një objekti në pronësi të vendit në Emiratet e Bashkuara Arabe. Fshirësi tjetër i vendosur nga APT quhet DEADWOOD. Ky kërcënim malware u zbulua si pjesë e fshirjes së sulmeve në Lindjen e Mesme më parë.