Agrius APT

最近のレポートでは、新しいAPT（Advanced Persistent Threat）ハッカーグループの活動が明らかになりました。 infosecの研究者は、脅威の攻撃者にAgriusという名前を付けました。調査結果によると、このAPTグループは中東で活動しており、主にイスラエルの標的を攻撃しています。

Agruisは、金銭的な動機によるランサムウェアの侵害として攻撃を構成することにより、その真の意図を隠そうとしました。ただし、その下には、被害者に展開された実際のペイロードが隠されていました。これは、侵害されたエンティティに大規模な混乱を引き起こすように設計されたワイパーマルウェアの脅威です。 「使徒」と名付けられた新しいワイパー株の1つは、後に本格的なランサムウェアに開発されました。しかし、繰り返しになりますが、研究者は、脅威は依然としてその破壊的な能力のために展開されており、金銭的な利益のためではないと信じています。

Agrius APTの戦術、技術、手順（TTP）は、現場ですでに確立されているすべてのATPグループとは一線を画すほど明確です。具体的な関連性はありませんが、SentinelLabsによって明らかにされた状況証拠は、アグリウスがイランと提携していることを示しています。

AgriusAPTによって展開されたマルウェアツール

Agriulsは、対象となる組織に展開されている公開アプリケーションを利用しながら匿名性を維持するために、ProtonVPNなどのVPNサービスに依存しています。被害者のネットワーク内に入ると、攻撃者はASPXSpyのWebシェルバリエーションを展開します。この時点で、Agriusは、アカウントの資格情報を収集し、被害者のネットワーク内を横方向に移動するために、公開されているツールに依然依存しています。

ハッカーがターゲットを価値があると見なした場合、ハッカーは攻撃をエスカレートし、独自のマルウェアツールの展開に進みます。まず、.NETで記述された「IPsecHelper」という名前のバックドアが開始されます。バックドアは、それ自体をサービスとして登録することにより、永続性を獲得しようとします。この脅迫ツールは、主にデータの漏えいや次の段階のペイロードの配信に使用されます。

運用の真の目標は、ワイパーの脅威の展開です。 1つ目は前述の「使徒」ワイパーです。この脅威は、2つの共有関数としての「IPsecヘルパー」に基づいており、同様の方法を使用してタスクを実行し、.NETで記述されています。使徒は後にワイパー機能をすべて削除し、ランサムウェア機能に置き換えることで変更されました。これは、侵害されたシステムで同様のレベルの混乱を引き起こす可能性が高く、アグリウスの意図をよりよく隠します。ランサムウェアバージョンの使徒は、アラブ首長国連邦の国有施設に対する攻撃で使用されました。 APTによって展開されるもう1つのワイパーは、DEADWOODという名前です。このマルウェアの脅威は、以前に中東でのワイピング攻撃の一部として検出されました。