Agrius APT
Yeni bir APT (Advanced Persistent Threat) hacker grubunun faaliyetleri, yakın tarihli bir raporda gün ışığına çıkarıldı. Infosec araştırmacıları, tehdit aktörlerine Agrius adını verdi. Bulgulara göre, bu APT grubu Orta Doğu'da faaliyet gösteriyor ve ağırlıklı olarak İsrail hedeflerine saldırıyor.
Agruis, saldırıları finansal olarak motive edilmiş fidye yazılımı ihlalleri olarak görünecek şekilde yapılandırarak gerçek niyetini gizlemeye çalıştı. Bununla birlikte, altında, kurbanlara dağıtılan gerçek yükler gizleniyordu - güvenliği ihlal edilen varlıklarda büyük kesintilere neden olmak için tasarlanmış birkaç silici kötü amaçlı yazılım tehdidi. 'Apostle' adlı yeni silecek türlerinden biri daha sonra tam teşekküllü fidye yazılımına dönüştürüldü. Yine de araştırmacılar, tehdidin finansal kazançlar için değil, yıkıcı yetenekleri için kullanıldığına inanıyor.
Agrius APT'nin taktikleri, teknikleri ve prosedürleri (TTP'ler), onları sahnede halihazırda kurulmuş olan tüm ATP gruplarından ayıracak kadar farklıdır. Somut bir bağlantı bulunmamakla birlikte, SentinelLabs'ın ortaya çıkardığı ikinci derece kanıtlar, Agrius'un İran ile bağlantılı olduğuna işaret ediyor.
Agrius APT Tarafından Dağıtılan Kötü Amaçlı Yazılım Araçları
Agriuls, hedeflenen kuruluşlarda dağıtılan halka açık uygulamalarla uğraşırken anonimliğini korumak için ProtonVPN gibi VPN hizmetlerine güveniyor. Kurbanın ağına girdikten sonra, tehdit aktörleri ASPXSpy'ın Web kabuğu varyasyonlarını dağıtır. Bu noktaya kadar, Agrius, hesap kimlik bilgilerini toplamak ve kurbanın ağının içinde yanal olarak hareket etmek için hala halka açık araçlara güveniyor.
Bilgisayar korsanları hedefi değerli görürlerse, saldırıyı hızlandıracak ve kendi kötü amaçlı yazılım araçlarını dağıtmaya devam edecekler. İlk olarak, .NET ile yazılmış 'IPsec Yardımcısı' adlı bir arka kapı başlatılacaktır. Arka kapı, kendisini bir hizmet olarak kaydederek kalıcılık kazanmaya çalışacaktır. Bu tehdit edici araç, veri hırsızlığı ve temel olarak sonraki aşama yüklerin teslimi için kullanılır.
Operasyonların gerçek amacı silecek tehditlerinin konuşlandırılmasıdır. Birincisi, yukarıda bahsedilen 'Havari' sileceği. Tehdit, iki paylaşım işlevi olarak 'IPsec Yardımcısı'na dayanır, görevleri yürütmek için benzer yöntemler kullanır ve .NET'te yazılır. Apostle daha sonra tüm silici işlevlerini kaldırarak ve bunları fidye yazılımı yetenekleriyle değiştirerek değiştirildi, büyük olasılıkla ihlal edilen sistemlerde benzer düzeyde bozulmaya neden olurken, Agrius'un niyetlerini daha iyi gizledi. Apostle'ın fidye yazılımı sürümü, Birleşik Arap Emirlikleri'nde ulusa ait bir tesise yapılan saldırıda kullanıldı. APT tarafından konuşlandırılan diğer silecek DEADWOOD olarak adlandırılır. Bu kötü amaçlı yazılım tehdidi, daha önce Orta Doğu'daki silme saldırılarının bir parçası olarak tespit edilmişti.
