Agrius APT

在最近的一份報告中，一個新的APT（高級持久威脅）黑客組織的活動已被曝光。信息安全研究人員將威脅參與者命名為Agrius。根據調查結果，該APT小組在中東活動，主要攻擊以色列目標。

Agruis試圖通過將攻擊結構化為出於經濟動機的勒索軟件漏洞來掩飾其真實意圖。然而，在下面卻隱藏了部署給受害者的真實有效載荷-幾種旨在造成受感染實體大規模破壞的雨刮器惡意軟件威脅。一種名為" Apostle"的新型雨刮器菌株後來被開發為成熟的勒索軟件。但是，研究人員再次相信，威脅仍然是出於其破壞力而不是為了經濟利益而部署的。

Agrius APT的戰術，技術和程序（TTP）非常獨特，足以將它們與現場所有已建立的ATP組區分開。儘管沒有具體聯繫，但SentinelLabs發現的間接證據表明Agrius隸屬於伊朗。

Agrius APT部署的惡意軟件工具

為了在與目標組織上部署的任何面向公眾的應用程序交互時保持匿名性，Agriuls依賴於ProtonVPN等VPN服務。一旦進入受害者的網絡，威脅參與者便會部署ASPXSpy的Web shell版本。至此，Agrius仍然依靠公開可用的工具來收集帳戶憑據，並在受害者的網絡內部進行橫向移動。

如果黑客認為目標值得，他們將升級攻擊並繼續部署自己的惡意軟件工具。首先，將啟動一個用.NET編寫的名為" IPsec Helper"的後門程序。後門將嘗試通過將自身註冊為服務來獲得持久性。該威脅工具主要用於數據洩露和下一級有效載荷的傳遞。

該行動的真正目標是部署抽頭威脅。首先是上述的"使徒"雨刷。該威脅基於" IPsec幫助程序"，因為這兩個共享功能使用相同的方法執行任務，並以.NET編寫。後來，Apostle進行了修改，刪除了所有抽頭功能，並用勒索軟件功能代替了它們，最有可能在受到破壞的系統上造成類似程度的破壞，同時更好地隱藏了Agrius的意圖。勒索軟件版本的Apostle被用於攻擊阿拉伯聯合酋長國的一家國有設施。 APT部署的另一個刮水器名為DEADWOOD。以前，這種惡意軟件威脅是在中東進行抹除攻擊的一部分。