Agrius APT

Die Aktivitäten einer neuen APT-Hackergruppe (Advanced Persistent Threat) wurden kürzlich in einem Bericht vorgestellt. Die Infosec-Forscher gaben den Bedrohungsakteuren den Namen Agrius. Den Ergebnissen zufolge ist diese APT-Gruppe im Nahen Osten tätig und greift vorwiegend israelische Ziele an.

Agruis versuchte, seine wahren Absichten zu verschleiern, indem er die Angriffe so strukturierte, dass sie als finanziell motivierte Ransomware-Verstöße erscheinen. Darunter versteckten sich jedoch die tatsächlichen Nutzlasten, die den Opfern zur Verfügung gestellt wurden - mehrere Bedrohungen durch Wischer-Malware, die die gefährdeten Einheiten massiv stören sollten. Eine der neuartigen Wischerstämme namens "Apostel" wurde später zu vollwertiger Ransomware entwickelt. Die Forscher glauben jedoch erneut, dass die Bedrohung immer noch wegen ihrer zerstörerischen Fähigkeiten und nicht wegen finanzieller Gewinne eingesetzt wurde.

Die Taktiken, Techniken und Verfahren (TTPs) von Agrius APT unterscheiden sich genug, um sie von allen bereits etablierten ATP-Gruppen in der Szene abzuheben. Und obwohl es keine konkreten Zusammenhänge gibt, deuten die von SentinelLabs aufgedeckten Indizien darauf hin, dass Agrius mit dem Iran verbunden ist.

Vom Agrius APT bereitgestellte Malware-Tools

Um die Anonymität zu wahren und gleichzeitig mit öffentlich zugänglichen Anwendungen zu arbeiten, die in den Zielorganisationen bereitgestellt werden, setzt Agriuls auf VPN-Dienste wie ProtonVPN. Sobald sich die Bedrohungsakteure im Netzwerk des Opfers befinden, stellen sie Web-Shell-Varianten von ASPXSpy bereit. Zu diesem Zeitpunkt verlässt sich Agrius immer noch auf öffentlich verfügbare Tools, um Kontoanmeldeinformationen zu sammeln und sich seitlich im Netzwerk des Opfers zu bewegen.

Wenn die Hacker das Ziel für würdig halten, eskalieren sie den Angriff und setzen ihre eigenen Malware-Tools ein. Zunächst wird eine in .NET geschriebene Hintertür mit dem Namen "IPsec Helper" initiiert. Die Hintertür versucht, Persistenz zu erlangen, indem sie sich als Dienst registriert. Dieses Bedrohungswerkzeug wird hauptsächlich für die Datenexfiltration und die Lieferung von Nutzdaten der nächsten Stufe verwendet.

Das wahre Ziel der Operationen ist der Einsatz von Wischerbedrohungen. Der erste ist der oben erwähnte "Apostel" -Wischer. Die Bedrohung basiert auf dem 'IPSec-Helfer', da die beiden Freigabefunktionen ähnliche Methoden zum Ausführen von Aufgaben verwenden und in .NET geschrieben sind. Apostle wurde später modifiziert, indem alle Wischerfunktionen entfernt und durch Ransomware-Funktionen ersetzt wurden. Dies führte höchstwahrscheinlich zu ähnlichen Störungen bei den beschädigten Systemen und verbarg die Absichten von Agrius besser. Die Ransomware-Version von Apostle wurde bei einem Angriff auf eine nationale Einrichtung in den Vereinigten Arabischen Emiraten verwendet. Der andere vom APT eingesetzte Scheibenwischer heißt DEADWOOD. Diese Malware-Bedrohung wurde zuvor im Rahmen von Löschangriffen im Nahen Osten entdeckt.