Agrius APT
Ang mga aktibidad ng isang bagong pangkat ng hacker ng APT (Advanced Persistent Threat) ay inihayag sa isang kamakailang ulat. Ang mga mananaliksik ng infosec ay nagbigay sa mga aktor ng pagbabanta ng pangalang Agrius. Ayon sa mga natuklasan, ang grupong APT na ito ay nagpapatakbo sa Gitnang Silangan at higit na umaatake sa mga target ng Israeli.
Tinangka ni Agruis na takpan ang tunay nitong mga intensyon sa pamamagitan ng pag-istruktura ng mga pag-atake upang lumitaw bilang mga paglabag sa ransomware na may motibo sa pananalapi. Sa ilalim, gayunpaman, ay itinatago ang mga totoong payload na na-deploy sa mga biktima - ilang mga banta ng wiper malware na idinisenyo upang magdulot ng napakalaking pagkaantala sa mga nakompromisong entity. Ang isa sa mga nobelang wiper strain na pinangalanang 'Apostle' ay kalaunan ay ginawang ganap na ransomware. Gayunpaman, muli, naniniwala ang mga mananaliksik, na ang banta ay ipinakalat pa rin para sa mga mapanirang kakayahan nito at hindi para sa mga kita sa pananalapi.
Ang mga taktika, pamamaraan, at pamamaraan (TTP) ng Agrius APT ay sapat na naiiba upang maihiwalay ang mga ito sa lahat ng naitatag nang pangkat ng ATP sa eksena. At bagama't walang mga konkretong link, ang circumstantial evidence na natuklasan ng SentinelLabs ay tumutukoy kay Agrius na kaanib sa Iran.
Mga Tool sa Malware na Ini-deploy ng Agrius APT
Upang mapanatili ang hindi nagpapakilala habang nakikipag-ugnayan sa anumang mga application na nakaharap sa publiko na naka-deploy sa mga target na organisasyon, umaasa ang Agriuls sa mga serbisyo ng VPN tulad ng ProtonVPN. Kapag nasa loob na ng network ng biktima, ang mga banta ng aktor ay nag-deploy ng mga pagkakaiba-iba ng Web shell ng ASPXSpy. Sa puntong ito, umaasa pa rin si Agrius sa mga tool na magagamit ng publiko upang makuha ang mga kredensyal ng account at lumipat sa loob ng network ng biktima sa gilid.
Kung itinuturing ng mga hacker na karapat-dapat ang target, papalakihin nila ang pag-atake at magpapatuloy sa pag-deploy ng sarili nilang mga tool sa malware. Una, ang isang backdoor na pinangalanang 'IPsec Helper' na nakasulat sa .NET ay sisimulan. Susubukan ng backdoor na makakuha ng pagpupursige sa pamamagitan ng pagrerehistro sa sarili bilang isang serbisyo. Ang nagbabantang tool na ito ay ginagamit para sa pag-exfiltration ng data at ang paghahatid ng mga susunod na yugto na payload pangunahin.
Ang tunay na layunin ng mga operasyon ay ang pag-deploy ng mga banta ng wiper. Ang una ay ang nabanggit na 'Apostle' wiper. Ang pagbabanta ay nakabatay sa 'IPsec Helper' bilang ang dalawang share function, ay gumagamit ng mga katulad na paraan upang maisagawa ang mga gawain at nakasulat sa .NET. Kalaunan ay binago si Apostle sa pamamagitan ng pag-alis ng lahat ng mga functionality ng wiper at pagpapalit sa mga ito ng mga kakayahan sa ransomware, malamang na magdulot ng mga katulad na antas ng pagkagambala sa mga nilabag na system, habang mas mahusay na itinatago ang mga intensyon ni Agrius. Ang ransomware na bersyon ng Apostle ay ginamit sa isang pag-atake laban sa isang pasilidad na pag-aari ng bansa sa United Arab Emirates. Ang isa pang wiper na na-deploy ng APT ay pinangalanang DEADWOOD. Natukoy ang banta ng malware na ito bilang bahagi ng pagpupunas ng mga pag-atake sa Middle East dati.
