Agrius APT

Aktiviteterna i en ny APT-hackargrupp (Advanced Persistent Threat) har tagits fram i en nyligen genomförd rapport. Infosec-forskarna gav hotaktörerna namnet Agrius. Enligt resultaten verkar denna APT-grupp i Mellanöstern och attackerar övervägande israeliska mål.

Agruis försökte maskera sina verkliga avsikter genom att strukturera attackerna så att de framstår som finansiellt motiverade överträdelser mot ransomware. Däremot gömdes dock de verkliga nyttolasten som utsatts till offren - flera hot av skadlig skadlig programvara utformade för att orsaka massiva störningar för de kompromitterade enheterna. En av de nya torkstammarna med namnet "Apostel" utvecklades senare till fullfjädrad ransomware. Men återigen tror forskarna att hotet fortfarande användes för dess destruktiva kapacitet och inte för ekonomiska vinster.

Agrius APT: s taktik, tekniker och procedurer (TTP) är tillräckligt tydliga för att skilja dem från alla de redan etablerade ATP-grupperna på scenen. Och även om det inte finns några konkreta länkar pekar omständliga bevis som avslöjats av SentinelLabs mot att Agrius är anslutet till Iran.

Malware-verktyg som används av Agrius APT

För att upprätthålla anonymitet samtidigt som de engagerar sig i offentliga applikationer som distribueras på de riktade organisationerna, förlitar sig Agriuls på VPN-tjänster som ProtonVPN. Väl inne i offrets nätverk distribuerar hotaktörerna webbskalvarianter av ASPXSpy. Vid denna tidpunkt litar Agrius fortfarande på allmänt tillgängliga verktyg för att skörda kontouppgifter och flytta in i offrets nätverk i sidled.

Om hackarna anser att målet är värdigt kommer de att eskalera attacken och fortsätta för att distribuera sina egna skadliga verktyg. Först initieras en bakdörr med namnet 'IPsec Helper' skriven i .NET. Bakdörren försöker få uthållighet genom att registrera sig som en tjänst. Detta hotande verktyg används främst för dataexfiltrering och leverans av nästa stegs nyttolaster.

Det verkliga målet med operationerna är utplaceringen av torkhot. Den första är den tidigare nämnda 'aposteln' torkaren. Hotet är baserat på 'IPsec Helper' som de två delningsfunktionerna, använder liknande metoder för att utföra uppgifter och är skrivna i .NET. Aposteln modifierades senare genom att ta bort alla torkfunktionerna och ersätta dem med ransomwarefunktioner, troligtvis att orsaka liknande nivåer av störningar på de brutna systemen, samtidigt som Agrius avsikter bättre döljdes. Ransomware-versionen av Apostle användes i en attack mot en nationellt ägd anläggning i Förenade Arabemiraten. Den andra torkaren som används av APT heter DEADWOOD. Detta hot mot skadlig kod upptäcktes som en del av torkningsattacker i Mellanöstern tidigare.