Agrius APT

Agrius APT说明

在最近的一份报告中,一个新的APT(高级持久威胁)黑客组织的活动已被曝光。信息安全研究人员将威胁参与者命名为Agrius。根据调查结果,该APT小组在中东活动,主要攻击以色列目标。

Agruis试图通过将攻击构造为出于经济动机的勒索软件漏洞来掩饰其真实意图。然而,在下面,却隐藏了部署给受害者的真实有效载荷-几种旨在造成受感染实体大规模破坏的雨刮器恶意软件威胁。一种名为" Apostle"的新型雨刮器菌株后来被开发为成熟的勒索软件。但是,研究人员再次相信,威胁仍然是出于其破坏力而不是为了经济利益而部署的。

Agrius APT的战术,技术和程序(TTP)非常独特,足以将它们与现场所有已建立的ATP组区分开。尽管没有具体联系,但SentinelLabs发现的间接证据表明Agrius隶属于伊朗。

Agrius APT部署的恶意软件工具

为了在与目标组织上部署的任何面向公众的应用程序交互时保持匿名性,Agriuls依赖于ProtonVPN等VPN服务。一旦进入受害者的网络,威胁参与者便会部署ASPXSpy的Web shell版本。至此,Agrius仍然依靠公开可用的工具来收集帐户凭据,并在受害者的网络内部进行横向移动。

如果黑客认为目标值得,他们将升级攻击并继续部署自己的恶意软件工具。首先,将启动一个用.NET编写的名为" IPsec Helper"的后门程序。后门将尝试通过将自身注册为服务来获得持久性。该威胁工具主要用于数据泄露和下一级有效载荷的传递。

该行动的真正目标是部署抽头威胁。首先是上述的"使徒"雨刷。该威胁基于" IPsec帮助程序",因为这两个共享功能使用相同的方法执行任务,并以.NET编写。后来,Apostle进行了修改,删除了所有抽头功能,并用勒索软件功能替换了它们,最有可能在受到破坏的系统上造成类似程度的破坏,同时更好地隐藏了Agrius的意图。勒索软件版本的Apostle被用于攻击阿拉伯联合酋长国的一家国有设施。 APT部署的另一个刮水器名为DEADWOOD。以前,这种恶意软件威胁是在中东进行抹除攻击的一部分。