Agrius APT

Agrius APT

Các hoạt động của một nhóm hacker APT (Mối đe dọa liên tục nâng cao) mới đã được đưa ra ánh sáng trong một báo cáo gần đây. Các nhà nghiên cứu infosec đã đặt tên cho các tác nhân đe dọa là Agrius. Theo phát hiện, nhóm APT này hoạt động ở Trung Đông và chủ yếu tấn công các mục tiêu của Israel.

Agruis đã cố gắng che giấu ý định thực sự của mình bằng cách cấu trúc các cuộc tấn công để có vẻ như là các vụ vi phạm ransomware có động cơ tài chính. Tuy nhiên, bên dưới đang che giấu các tải trọng thực sự được triển khai cho các nạn nhân - một số mối đe dọa phần mềm độc hại xóa sổ được thiết kế để gây ra sự gián đoạn lớn cho các thực thể bị xâm nhập. Một trong những chủng loại cần gạt mới có tên là 'Apostle' sau đó đã được phát triển thành ransomware chính thức. Tuy nhiên, một lần nữa, các nhà nghiên cứu tin rằng mối đe dọa vẫn được triển khai vì khả năng hủy diệt của nó chứ không phải vì lợi ích tài chính.

Các chiến thuật, kỹ thuật và quy trình (TTP) của Agrius APT đủ khác biệt để làm cho chúng khác biệt với tất cả các nhóm ATP đã được thiết lập trên hiện trường. Và mặc dù không có liên kết cụ thể nào, nhưng bằng chứng ngẫu nhiên do SentinelLabs phát hiện chỉ ra việc Agrius có liên kết với Iran.

Các công cụ phần mềm độc hại do Agrius APT triển khai

Để duy trì tính ẩn danh trong khi tương tác với bất kỳ ứng dụng công khai nào được triển khai trên các tổ chức được nhắm mục tiêu, Agriuls dựa vào các dịch vụ VPN như ProtonVPN. Khi bên trong mạng của nạn nhân, các tác nhân đe dọa triển khai các biến thể Web shell của ASPXSpy. Đến thời điểm này, Agrius vẫn đang dựa vào các công cụ có sẵn công khai để thu thập thông tin đăng nhập tài khoản và di chuyển bên trong mạng của nạn nhân.

Nếu tin tặc cho là mục tiêu xứng đáng, chúng sẽ leo thang cuộc tấn công và chuyển sang triển khai các công cụ phần mềm độc hại của riêng chúng. Đầu tiên, một cửa hậu có tên 'Trình trợ giúp IPsec' được viết bằng .NET sẽ được khởi tạo. Cửa hậu sẽ cố gắng đạt được sự bền bỉ bằng cách đăng ký chính nó như một dịch vụ. Công cụ đe dọa này chủ yếu được sử dụng để lọc dữ liệu và phân phối các trọng tải ở giai đoạn tiếp theo.

Mục tiêu thực sự của các hoạt động là triển khai các mối đe dọa gạt nước. Đầu tiên là cần gạt nước 'Apostle' nói trên. Mối đe dọa dựa trên 'Trình trợ giúp IPsec' vì hai chức năng chia sẻ, sử dụng các phương pháp tương tự để thực thi các tác vụ và được viết bằng .NET. Apostle sau đó đã được sửa đổi bằng cách loại bỏ tất cả các chức năng của gạt nước và thay thế chúng bằng các khả năng ransomware, rất có thể gây ra mức độ gián đoạn tương tự trên các hệ thống bị vi phạm, đồng thời che giấu tốt hơn ý định của Agrius. Phiên bản ransomware của Apostle đã được sử dụng trong một cuộc tấn công nhằm vào một cơ sở thuộc sở hữu quốc gia ở Các Tiểu vương quốc Ả Rập Thống nhất. Gạt mưa khác do APT triển khai có tên là DEADWOOD. Mối đe dọa phần mềm độc hại này đã được phát hiện là một phần của các cuộc tấn công xóa sổ ở Trung Đông trước đây.

Loading...