Агриус АПТ

Агриус АПТ

Активности нове хакерске групе АПТ (Адванцед Персистент Тхреат) откривене су у недавном извештају. Истраживачи инфосеца су актерима претњи дали име Агриус. Према налазима, ова АПТ група делује на Блиском истоку и напада претежно израелске циљеве.

Агруис је покушао да прикрије своје праве намере структурирајући нападе тако да изгледају као финансијски мотивисана кршења рансомваре-а. Испод су се, међутим, скривали прави терети распоређени на жртве - неколико претњи малвера за брисање које је осмишљено да изазове огромне сметње компромитованим ентитетима. Један од нових сојева брисача под називом 'Апостол' је касније развијен у пуноправни рансомваре. Међутим, опет, истраживачи верују да је претња и даље коришћена због својих деструктивних способности, а не ради финансијске добити.

Агриус АПТ-ове тактике, технике и процедуре (ТТП) довољно су различите да их одвоје од свих већ успостављених АТП група на сцени. И док нема конкретних веза, посредни докази које је открио СентинелЛабс указују на то да је Агриус повезан са Ираном.

Алати за малвер који је применио Агриус АПТ

Да би одржао анонимност док се бави било којим јавним апликацијама које су распоређене у циљаним организацијама, Агриулс се ослања на ВПН услуге као што је ПротонВПН. Једном у мрежи жртве, актери претње примењују варијације веб љуске АСПКССпи. До овог тренутка, Агриус се још увек ослања на јавно доступне алате за прикупљање акредитива налога и бочно кретање унутар мреже жртве.

Ако хакери сматрају да је циљ достојан, они ће ескалирати напад и прећи на имплементацију сопствених алата за малвер. Прво ће бити покренут бацкдоор под називом 'ИПсец Хелпер' написан у .НЕТ-у. Бацкдоор ће покушати да стекне упорност тако што ће се регистровати као услуга. Овај претећи алат се углавном користи за ексфилтрацију података и испоруку корисних оптерећења следеће фазе.

Прави циљ операција је размештање претњи брисачима. Први је поменути 'Апостол' брисач. Претња је заснована на 'ИПсец Хелпер-у' јер две деле функције, користе сличне методе за извршавање задатака и написане су у .НЕТ-у. Апостле је касније модификован уклањањем свих функционалности брисача и њиховом заменом могућностима рансомвера, што ће највероватније изазвати сличне нивое поремећаја на пробијеним системима, док је боље сакрило Агријусове намере. Верзија рансомваре-а Апостле коришћена је у нападу на објекат у државном власништву у Уједињеним Арапским Емиратима. Други брисач који користи АПТ се зове ДЕАДВООД. Ова претња од малвера је раније откривена као део брисања напада на Блиском истоку.

Loading...