అగ్రియస్ APT

అగ్రియస్ APT వివరణ

కొత్త APT (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) హ్యాకర్ గ్రూప్ కార్యకలాపాలు ఇటీవలి నివేదికలో వెలుగులోకి వచ్చాయి. ఇన్ఫోసెక్ పరిశోధకులు బెదిరింపు నటులకు అగ్రియస్ అనే పేరు పెట్టారు. పరిశోధనల ప్రకారం, ఈ APT సమూహం మధ్యప్రాచ్యంలో పనిచేస్తుంది మరియు ప్రధానంగా ఇజ్రాయెల్ లక్ష్యాలపై దాడి చేస్తుంది.

ఆర్థికంగా ప్రేరేపించబడిన ransomware ఉల్లంఘనలుగా కనిపించేలా దాడులను రూపొందించడం ద్వారా అగ్రూయిస్ తన నిజమైన ఉద్దేశాలను కప్పిపుచ్చడానికి ప్రయత్నించాడు. అయితే, బాధితులకు మోహరించిన నిజమైన పేలోడ్‌లు కింద దాచబడ్డాయి - అనేక వైపర్ మాల్వేర్ బెదిరింపులు రాజీపడిన సంస్థలకు భారీ అంతరాయాలను కలిగించేలా రూపొందించబడ్డాయి. 'అపోస్టిల్' అనే నవల వైపర్ జాతులలో ఒకటి తరువాత పూర్తి స్థాయి ransomwareగా అభివృద్ధి చేయబడింది. అయితే, మళ్ళీ, పరిశోధకులు విశ్వసిస్తున్నారు, ముప్పు ఇప్పటికీ దాని విధ్వంసక సామర్థ్యాల కోసం అమలు చేయబడిందని మరియు ఆర్థిక లాభాల కోసం కాదు.

అగ్రియస్ APT యొక్క వ్యూహాలు, సాంకేతికతలు మరియు విధానాలు (TTPలు) సన్నివేశంలో ఇప్పటికే స్థాపించబడిన అన్ని ATP సమూహాల నుండి వాటిని వేరు చేయడానికి తగినంతగా విభిన్నంగా ఉన్నాయి. మరియు ఖచ్చితమైన లింకులు ఏవీ లేనప్పటికీ, సెంటినెల్‌ల్యాబ్స్ వెలికితీసిన సందర్భోచిత సాక్ష్యం ఇరాన్‌తో అనుబంధంగా ఉన్న అగ్రిస్ వైపు చూపుతుంది.

Agrius APT ద్వారా అమలు చేయబడిన మాల్వేర్ సాధనాలు

లక్షిత సంస్థలలో అమలు చేయబడిన ఏదైనా పబ్లిక్-ఫేసింగ్ అప్లికేషన్‌లతో నిమగ్నమైనప్పుడు అజ్ఞాతత్వాన్ని కొనసాగించడానికి, అగ్రిల్స్ ప్రోటాన్‌విపిఎన్ వంటి VPN సేవలపై ఆధారపడుతుంది. బాధితుల నెట్‌వర్క్‌లోకి ప్రవేశించిన తర్వాత, బెదిరింపు నటులు ASPXSpy యొక్క వెబ్ షెల్ వైవిధ్యాలను అమలు చేస్తారు. ఈ సమయానికి, అగ్రియస్ ఇప్పటికీ ఖాతా ఆధారాలను సేకరించేందుకు మరియు బాధితుల నెట్‌వర్క్‌లోకి పక్కకు వెళ్లడానికి పబ్లిక్‌గా అందుబాటులో ఉన్న సాధనాలపై ఆధారపడుతోంది.

హ్యాకర్లు లక్ష్యాన్ని విలువైనదిగా భావిస్తే, వారు దాడిని పెంచుతారు మరియు వారి స్వంత మాల్వేర్ సాధనాలను అమలు చేయడానికి ముందుకు వెళతారు. ముందుగా, .NETలో వ్రాసిన 'IPsec హెల్పర్' పేరుతో బ్యాక్‌డోర్ ప్రారంభించబడుతుంది. బ్యాక్‌డోర్ తనను తాను సేవగా నమోదు చేసుకోవడం ద్వారా పట్టుదలను పొందేందుకు ప్రయత్నిస్తుంది. ఈ బెదిరింపు సాధనం ప్రధానంగా డేటా ఎక్స్‌ఫిల్ట్రేషన్ మరియు తదుపరి-దశ పేలోడ్‌ల డెలివరీ కోసం ఉపయోగించబడుతుంది.

కార్యకలాపాల యొక్క నిజమైన లక్ష్యం వైపర్ బెదిరింపుల విస్తరణ. మొదటిది పైన పేర్కొన్న 'అపోస్టల్' వైపర్. ముప్పు 'IPsec హెల్పర్'పై ఆధారపడింది, రెండు షేర్ ఫంక్షన్‌లు, టాస్క్‌లను అమలు చేయడానికి ఒకే విధమైన పద్ధతులను ఉపయోగిస్తాయి మరియు .NETలో వ్రాయబడతాయి. అపోస్టల్ తరువాత అన్ని వైపర్ ఫంక్షనాలిటీలను తీసివేసి, వాటిని ransomware సామర్థ్యాలతో భర్తీ చేయడం ద్వారా సవరించబడింది, ఇది అగ్రియస్ ఉద్దేశాలను మెరుగ్గా దాచిపెడుతూ, ఉల్లంఘించిన సిస్టమ్‌లపై ఒకే విధమైన అంతరాయాన్ని కలిగించే అవకాశం ఉంది. యునైటెడ్ అరబ్ ఎమిరేట్స్‌లోని దేశం-యాజమాన్యమైన సదుపాయంపై దాడిలో అపోస్టల్ యొక్క ransomware వెర్షన్ ఉపయోగించబడింది. APT ద్వారా అమలు చేయబడిన ఇతర వైపర్ పేరు DEADWOOD. గతంలో మధ్యప్రాచ్యంలో జరిగిన దాడులను తుడిచిపెట్టడంలో భాగంగా ఈ మాల్వేర్ ముప్పు కనుగొనబడింది.