Agrius APT

Agrius APT

Les activités d'un nouveau groupe de hackers APT (Advanced Persistent Threat) ont été mises en lumière dans un récent rapport. Les chercheurs d'Infosec ont donné aux acteurs de la menace le nom d'Agrius. Selon les résultats, ce groupe APT opère au Moyen-Orient et attaque principalement des cibles israéliennes.

Agruis a tenté de masquer ses véritables intentions en structurant les attaques pour qu'elles apparaissent comme des violations de ransomware motivées financièrement. En dessous, cependant, se cachaient les vraies charges utiles déployées sur les victimes - plusieurs menaces de logiciels malveillants d'essuyage conçues pour causer des perturbations massives aux entités compromises. L'une des nouvelles souches d'essuie-glace nommée "Apostle'' a ensuite été développée en ransomware à part entière. Cependant, encore une fois, les chercheurs estiment que la menace était toujours déployée pour ses capacités destructrices et non pour des gains financiers.

Les tactiques, techniques et procédures (TTP) d'Agrius APT sont suffisamment distinctes pour les distinguer de tous les groupes ATP déjà établis sur la scène. Et bien qu'il n'y ait pas de liens concrets, des preuves circonstancielles découvertes par SentinelLabs indiquent qu'Agrius est affilié à l'Iran.

Outils malveillants déployés par l'APT Agrius

Pour maintenir l'anonymat tout en interagissant avec les applications destinées au public déployées sur les organisations ciblées, Agriuls s'appuie sur des services VPN tels que ProtonVPN. Une fois à l'intérieur du réseau de la victime, les acteurs de la menace déploient des variantes du shell Web d'ASPXSpy. À ce stade, Agrius s'appuie toujours sur des outils accessibles au public pour collecter les informations d'identification du compte et se déplacer latéralement à l'intérieur du réseau de la victime.

Si les pirates jugent la cible digne, ils intensifieront l'attaque et déploieront leurs propres outils malveillants. Tout d'abord, une porte dérobée nommée «IPsec Helper» écrite en .NET sera lancée. La porte dérobée tentera de gagner en persistance en s'enregistrant en tant que service. Cet outil menaçant est principalement utilisé pour l'exfiltration de données et la livraison de charges utiles de la prochaine étape.

Le véritable objectif des opérations est le déploiement de menaces d'essuie-glace. Le premier est l'essuie-glace «Apostle» mentionné ci-dessus. La menace est basée sur «IPsec Helper» comme les deux fonctions de partage, utilisent des méthodes similaires pour exécuter des tâches et sont écrites en .NET. Apostle a ensuite été modifié en supprimant toutes les fonctionnalités d'essuie-glace et en les remplaçant par des capacités de ransomware, susceptibles de provoquer des niveaux similaires de perturbation sur les systèmes violés, tout en cachant mieux les intentions d'Agrius. La version ransomware d'Apostle a été utilisée dans une attaque contre une installation appartenant à la nation aux Émirats arabes unis. L'autre essuie-glace déployé par l'APT s'appelle DEADWOOD. Cette menace de malware a été détectée dans le cadre d'attaques d'effacement au Moyen-Orient précédemment.

Tendance

Chargement...