Agrius APT

Las actividades de un nuevo grupo de piratas informáticos APT (Advanced Persistent Threat) han salido a la luz en un informe reciente. Los investigadores de infosec dieron a los actores de la amenaza el nombre Agrius. Según los hallazgos, este grupo APT opera en el Medio Oriente y ataca principalmente a objetivos israelíes.

Agruis intentó enmascarar sus verdaderas intenciones estructurando los ataques para que aparecieran como violaciones de ransomware motivadas financieramente. Debajo, sin embargo, se escondían las cargas útiles reales desplegadas a las víctimas: varias amenazas de malware de limpiaparabrisas diseñadas para causar interrupciones masivas a las entidades comprometidas. Una de las nuevas cepas de limpiaparabrisas llamada 'Apóstol' se convirtió más tarde en un ransomware completo. Sin embargo, nuevamente, los investigadores creen que la amenaza aún se desplegó por sus capacidades destructivas y no por ganancias financieras.

Las tácticas, técnicas y procedimientos (TTP) de Agrius APT son lo suficientemente distintos como para diferenciarlos de todos los grupos de ATP ya establecidos en la escena. Y aunque no hay vínculos concretos, la evidencia circunstancial descubierta por SentinelLabs apunta a que Agrius está afiliado a Irán.

Herramientas de malware implementadas por Agrius APT

Para mantener el anonimato mientras se relaciona con cualquier aplicación de cara al público implementada en las organizaciones objetivo, Agriuls confía en servicios VPN como ProtonVPN. Una vez dentro de la red de la víctima, los actores de amenazas implementan variaciones de shell web de ASPXSpy. En este punto, Agrius todavía confía en herramientas disponibles públicamente para recolectar las credenciales de la cuenta y moverse dentro de la red de la víctima lateralmente.

Si los piratas informáticos consideran que el objetivo es digno, escalarán el ataque y pasarán a implementar sus propias herramientas de malware. Primero, se iniciará una puerta trasera llamada 'IPsec Helper' escrito en .NET. La puerta trasera intentará ganar persistencia registrándose como un servicio. Esta herramienta amenazante se utiliza principalmente para la exfiltración de datos y la entrega de cargas útiles de la siguiente etapa.

El verdadero objetivo de las operaciones es el despliegue de amenazas de limpiaparabrisas. El primero es el limpiaparabrisas 'Apóstol' mencionado anteriormente. La amenaza se basa en el 'IPsec Helper' ya que las dos funciones comparten, utilizan métodos similares para ejecutar tareas y están escritas en .NET. Posteriormente, Apostle se modificó eliminando todas las funcionalidades del limpiaparabrisas y reemplazándolas con capacidades de ransomware, que probablemente causen niveles similares de interrupción en los sistemas violados, mientras que ocultan mejor las intenciones de Agrius. La versión ransomware de Apostle se utilizó en un ataque contra una instalación de propiedad nacional en los Emiratos Árabes Unidos. El otro limpiaparabrisas implementado por la APT se llama DEADWOOD. Esta amenaza de malware se detectó anteriormente como parte de los ataques de limpieza en el Medio Oriente.