Agrius APT

Діяльність нової групи хакерів APT (Advanced Persistent Threat) була висвітлена в нещодавньому звіті. Дослідники Infosec дали акторам загрози ім’я Агріус. Згідно з висновками, ця група APT діє на Близькому Сході і атакує переважно ізраїльські цілі.

Agruis намагався приховати свої справжні наміри, структурувавши атаки так, щоб вони виглядали як фінансово вмотивовані зловмисники-вимагачі. Однак під ним ховалися реальні корисні навантаження, розгорнуті для жертв – кілька загроз зловмисного програмного забезпечення, покликаних викликати масові збої в скомпрометованих об’єктах. Один з нових типів склоочисників під назвою «Апостол» згодом був розроблений у повноцінне програмне забезпечення-вимагач. Однак, знову ж таки, дослідники вважають, що загроза все ж була розгорнута заради її руйнівних можливостей, а не для фінансової вигоди.

Тактика, прийоми та процедури (TTP) Agrius APT досить чіткі, щоб виділити їх серед усіх уже створених груп ATP на сцені. І хоча конкретних зв’язків немає, непрямі докази, виявлені SentinelLabs, вказують на те, що Агріус пов’язаний з Іраном.

Інструменти зловмисного програмного забезпечення, розгорнуті Agrius APT

Щоб зберегти анонімність під час взаємодії з будь-якими загальнодоступними програмами, розгорнутими в цільових організаціях, Agriuls покладається на послуги VPN, такі як ProtonVPN. Потрапляючи в мережу жертви, загрози розгортають варіанти веб-оболонки ASPXSpy. До цього моменту Agrius все ще покладається на загальнодоступні інструменти для збору облікових даних і переміщення всередині мережі жертви збоку.

Якщо хакери визнають ціль гідною, вони посилять атаку і перейдуть до розгортання власних шкідливих інструментів. Спочатку буде запущено бекдор під назвою «IPsec Helper», написаний на .NET. Бекдор намагатиметься отримати стійкість, зареєструвавши себе як службу. Цей загрозливий інструмент використовується в основному для вилучення даних і доставки корисних навантажень наступного етапу.

Справжньою метою операцій є розгортання загроз стирання. Перший — це вищезгаданий склоочисник «Апостол». Загроза заснована на 'IPsec Helper', оскільки дві спільні функції використовують подібні методи для виконання завдань і написані на .NET. Пізніше Apostle було модифіковано, видаливши всі функції очищувача та замінивши їх можливостями програм-вимагачів, що, швидше за все, спричинило б подібний рівень збоїв у зламаних системах, водночас краще прихувавши наміри Агріуса. Версія програмного забезпечення Apostle була використана для атаки на національний об’єкт в Об’єднаних Арабських Еміратах. Інший склоочисник, розгорнутий APT, називається DEADWOOD. Ця загроза зловмисного програмного забезпечення була раніше виявлена в рамках знищення атак на Близькому Сході.