అగ్రియస్ APT
కొత్త APT (అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్) హ్యాకర్ గ్రూప్ కార్యకలాపాలు ఇటీవలి నివేదికలో వెలుగులోకి వచ్చాయి. ఇన్ఫోసెక్ పరిశోధకులు బెదిరింపు నటులకు అగ్రియస్ అనే పేరు పెట్టారు. పరిశోధనల ప్రకారం, ఈ APT సమూహం మధ్యప్రాచ్యంలో పనిచేస్తుంది మరియు ప్రధానంగా ఇజ్రాయెల్ లక్ష్యాలపై దాడి చేస్తుంది.
ఆర్థికంగా ప్రేరేపించబడిన ransomware ఉల్లంఘనలుగా కనిపించేలా దాడులను రూపొందించడం ద్వారా అగ్రూయిస్ తన నిజమైన ఉద్దేశాలను కప్పిపుచ్చడానికి ప్రయత్నించాడు. అయితే, బాధితులకు మోహరించిన నిజమైన పేలోడ్లు కింద దాచబడ్డాయి - అనేక వైపర్ మాల్వేర్ బెదిరింపులు రాజీపడిన సంస్థలకు భారీ అంతరాయాలను కలిగించేలా రూపొందించబడ్డాయి. 'అపోస్టిల్' అనే నవల వైపర్ జాతులలో ఒకటి తరువాత పూర్తి స్థాయి ransomwareగా అభివృద్ధి చేయబడింది. అయితే, మళ్ళీ, పరిశోధకులు విశ్వసిస్తున్నారు, ముప్పు ఇప్పటికీ దాని విధ్వంసక సామర్థ్యాల కోసం అమలు చేయబడిందని మరియు ఆర్థిక లాభాల కోసం కాదు.
అగ్రియస్ APT యొక్క వ్యూహాలు, సాంకేతికతలు మరియు విధానాలు (TTPలు) సన్నివేశంలో ఇప్పటికే స్థాపించబడిన అన్ని ATP సమూహాల నుండి వాటిని వేరు చేయడానికి తగినంతగా విభిన్నంగా ఉన్నాయి. మరియు ఖచ్చితమైన లింకులు ఏవీ లేనప్పటికీ, సెంటినెల్ల్యాబ్స్ వెలికితీసిన సందర్భోచిత సాక్ష్యం ఇరాన్తో అనుబంధంగా ఉన్న అగ్రిస్ వైపు చూపుతుంది.
Agrius APT ద్వారా అమలు చేయబడిన మాల్వేర్ సాధనాలు
లక్షిత సంస్థలలో అమలు చేయబడిన ఏదైనా పబ్లిక్-ఫేసింగ్ అప్లికేషన్లతో నిమగ్నమైనప్పుడు అజ్ఞాతత్వాన్ని కొనసాగించడానికి, అగ్రిల్స్ ప్రోటాన్విపిఎన్ వంటి VPN సేవలపై ఆధారపడుతుంది. బాధితుల నెట్వర్క్లోకి ప్రవేశించిన తర్వాత, బెదిరింపు నటులు ASPXSpy యొక్క వెబ్ షెల్ వైవిధ్యాలను అమలు చేస్తారు. ఈ సమయానికి, అగ్రియస్ ఇప్పటికీ ఖాతా ఆధారాలను సేకరించేందుకు మరియు బాధితుల నెట్వర్క్లోకి పక్కకు వెళ్లడానికి పబ్లిక్గా అందుబాటులో ఉన్న సాధనాలపై ఆధారపడుతోంది.
హ్యాకర్లు లక్ష్యాన్ని విలువైనదిగా భావిస్తే, వారు దాడిని పెంచుతారు మరియు వారి స్వంత మాల్వేర్ సాధనాలను అమలు చేయడానికి ముందుకు వెళతారు. ముందుగా, .NETలో వ్రాసిన 'IPsec హెల్పర్' పేరుతో బ్యాక్డోర్ ప్రారంభించబడుతుంది. బ్యాక్డోర్ తనను తాను సేవగా నమోదు చేసుకోవడం ద్వారా పట్టుదలను పొందేందుకు ప్రయత్నిస్తుంది. ఈ బెదిరింపు సాధనం ప్రధానంగా డేటా ఎక్స్ఫిల్ట్రేషన్ మరియు తదుపరి-దశ పేలోడ్ల డెలివరీ కోసం ఉపయోగించబడుతుంది.
కార్యకలాపాల యొక్క నిజమైన లక్ష్యం వైపర్ బెదిరింపుల విస్తరణ. మొదటిది పైన పేర్కొన్న 'అపోస్టల్' వైపర్. ముప్పు 'IPsec హెల్పర్'పై ఆధారపడింది, రెండు షేర్ ఫంక్షన్లు, టాస్క్లను అమలు చేయడానికి ఒకే విధమైన పద్ధతులను ఉపయోగిస్తాయి మరియు .NETలో వ్రాయబడతాయి. అపోస్టల్ తరువాత అన్ని వైపర్ ఫంక్షనాలిటీలను తీసివేసి, వాటిని ransomware సామర్థ్యాలతో భర్తీ చేయడం ద్వారా సవరించబడింది, ఇది అగ్రియస్ ఉద్దేశాలను మెరుగ్గా దాచిపెడుతూ, ఉల్లంఘించిన సిస్టమ్లపై ఒకే విధమైన అంతరాయాన్ని కలిగించే అవకాశం ఉంది. యునైటెడ్ అరబ్ ఎమిరేట్స్లోని దేశం-యాజమాన్యమైన సదుపాయంపై దాడిలో అపోస్టల్ యొక్క ransomware వెర్షన్ ఉపయోగించబడింది. APT ద్వారా అమలు చేయబడిన ఇతర వైపర్ పేరు DEADWOOD. గతంలో మధ్యప్రాచ్యంలో జరిగిన దాడులను తుడిచిపెట్టడంలో భాగంగా ఈ మాల్వేర్ ముప్పు కనుగొనబడింది.
