Agrius
Agrius è un gruppo APT legato allo Stato iraniano noto per i suoi attacchi ransomware e wiper, che prendono di mira principalmente entità israeliane e mediorientali con vari pseudonimi, tra cui SPECTRAL KITTEN e Black Shadow.
L'origine di Agrius
Agrius è un gruppo iraniano sponsorizzato dallo Stato che si occupa di minacce persistenti avanzate (APT) attivo almeno dal 2020, strettamente legato al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). Conosciuto anche con pseudonimi quali SPECTRAL KITTEN, Black Shadow e Pink Sandstorm, Agrius è noto per il suo uso ibrido di ransomware e malware wiper in operazioni distruttive, in particolare contro entità israeliane. Le loro campagne spesso mascherano attacchi di natura politica come incidenti ransomware di natura finanziaria, una tattica denominata"lock-and-leak"in cui i dati rubati vengono sottratti e poi divulgati tramite canali di eCrime.
Il gruppo fa ampio uso di malware personalizzato, come IPSecHelper, Apostle ransomware e strumenti proxy FlowTunnel. Recenti informazioni di intelligence collegano gli operatori di Agrius a Jahat Pardaz, una società sospettata di essere una copertura per il MOIS, e mettono in evidenza la loro capacità di condurre operazioni informatiche di grande impatto.
Paesi interessati
I principali obiettivi geografici includono:
- Israele, dove si concentra la maggior parte delle operazioni distruttive e di furto di credenziali.
- Emirati Arabi Uniti (EAU), dove Agrius ha causato interruzioni limitate ma significative, prendendo di mira anche aziende di logistica.
- Inoltre, storicamente le infrastrutture di telecomunicazione dell'Asia meridionale sono state oggetto di attacchi, il che suggerisce una certa portata operativa al di fuori del Medio Oriente.
Settori di riferimento
Agrius ha un ampio raggio d'azione sia nel settore pubblico che in quello privato, che comprende in particolare:
- Istituzioni accademiche e di ricerca
- Consulenza e servizi professionali
- Ingegneria, industria e logistica
- Militare, marittimo e trasporti
- Servizi finanziari e assicurativi
- Tecnologia, media e telecomunicazioni
- Agenzie governative e piattaforme di social media
La loro capacità di operare in così tanti settori verticali indica un allineamento strategico con gli interessi geopolitici iraniani, in particolare nell'ambito dello spionaggio e delle attività di disturbo.
Vittime note
I profili delle vittime conosciute includono:
- Istituzioni accademiche israeliane, dove hanno condotto operazioni in più fasi che hanno comportato la raccolta di credenziali e l'esfiltrazione di informazioni personali identificabili (PII).
- Un'azienda di logistica negli Emirati Arabi Uniti è stata colpita da malware distruttivo.
- Un organo di informazione dell'opposizione iraniana con sede nel Regno Unito, oggetto di un'operazione di influenza, che dimostra l'integrazione da parte di Agrius delle operazioni psicologiche insieme all'intrusione tecnica.
Il metodo di attacco dell'Agrius
Sfrutta le vulnerabilità delle app pubbliche, in particolare CVE-2018-13379 in FortiOS; utilizza ProtonVPN per l'anonimizzazione.
Distribuisce malware IPSecHelper malware servizio per garantire la persistenza; utilizza PetitPotato per l'escalation dei privilegi locali.
Disattiva gli strumenti di sicurezza con strumenti anti-rootkit come GMER64.sys, modifica le impostazioni EDR e utilizza tecniche di mascheramento.
Scarica i file di memoria LSASS e SAM con Mimikatz; esegue attacchi di forza bruta SMB e password spraying.
Esegue la scansione dell'host e della rete con strumenti quali NBTscan, SoftPerfect e WinEggDrop.
Utilizza il tunneling RDP tramite Plink e ASPXSpy web shell; scarica payload da servizi pubblici di condivisione file.
Raccoglie dati PII e SQL utilizzando strumenti personalizzati come sql.net4.exe; archivia i dati localmente in directory nascoste.
Esegue script e file binari tramite la shell di comando di Windows; utilizza utilità di sistema rinominate per nascondersi.
Archivia i dati utilizzando 7zip; esfiltra tramite strumenti come PuTTY e WinSCP attraverso canali HTTP crittografati con AES.
Distribuisce il ransomware Apostle e programmi di cancellazione dei dati per causare interruzioni operative; divulga dati al pubblico per operazioni di influenza.
Sfrutta le vulnerabilità delle app pubbliche, in particolare CVE-2018-13379 in FortiOS; utilizza ProtonVPN per l'anonimizzazione.
Distribuisce malware IPSecHelper malware servizio per garantire la persistenza; utilizza PetitPotato per l'escalation dei privilegi locali.
Disattiva gli strumenti di sicurezza con strumenti anti-rootkit come GMER64.sys, modifica le impostazioni EDR e utilizza tecniche di mascheramento.
Scarica i file di memoria LSASS e SAM con Mimikatz; esegue attacchi di forza bruta SMB e password spraying.
Esegue la scansione dell'host e della rete con strumenti quali NBTscan, SoftPerfect e WinEggDrop.
Utilizza il tunneling RDP tramite Plink e ASPXSpy web shell; scarica payload da servizi pubblici di condivisione file.
Raccoglie dati PII e SQL utilizzando strumenti personalizzati come sql.net4.exe; archivia i dati localmente in directory nascoste.
Esegue script e file binari tramite la shell di comando di Windows; utilizza utilità di sistema rinominate per nascondersi.
Archivia i dati utilizzando 7zip; esfiltra tramite strumenti come PuTTY e WinSCP attraverso canali HTTP crittografati con AES.
Distribuisce il ransomware Apostle e programmi di cancellazione dei dati per causare interruzioni operative; divulga dati al pubblico per operazioni di influenza.
TTP utilizzati da Agrius
Come rilevare Agrius con Vectra AI
Domande frequenti
Qual è la motivazione principale di Agrius?
Agrius conduce operazioni di spionaggio e di disturbo in linea con gli interessi dello Stato iraniano, spesso mascherate da ransomware per garantire una negabilità plausibile.
In che modo Agrius ottiene l'accesso iniziale alle reti?
Sfruttano principalmente applicazioni rivolte al pubblico, in particolare FortiOS di Fortinet (CVE-2018-13379), e utilizzano servizi VPN come ProtonVPN per nascondere la loro origine.
Per quale tipo di malware noto Agrius?
Agrius utilizza IPSecHelper, Apostle ransomware, ASPXSpy e lo strumento proxy FlowTunnel, tra gli altri.
Distribuiscono malware servizi Windows (ad esempio IPSecHelper) e utilizzano web shell per garantire un accesso a lungo termine.
Quali sono i metodi di esfiltrazione dei dati utilizzati da Agrius?
I dati vengono archiviati utilizzando 7zip, memorizzati localmente ed esportati utilizzando PuTTY o WinSCP, spesso tramite canali C2 crittografati.
Come fanno a sfuggire ai controlli?
Disabilitando gli strumenti EDR, mascherando i file binari e gli script di codifica base64, Agrius elude le difese tradizionali.
Qual è il loro metodo preferito di spostamento laterale?
Utilizzano il tunneling RDP attraverso shell web compromesse e strumenti come Plink, oltre ad acquisire credenziali valide.
Quali strategie di rilevamento sono efficaci contro l'Agrius?
Il monitoraggio di tunnel RDP anomali, l'uso di Plink o la comparsa improvvisa di strumenti come Mimikatz o IPSecHelper possono essere efficaci. Il rilevamento e la risposta di rete (NDR) e l'analisi comportamentale sono fondamentali.
Quali sono i settori più a rischio a causa dell'Agrius?
Le organizzazioni israeliane operanti in settori quali quello accademico, delle telecomunicazioni e della logistica, nonché le aziende di logistica e trasporto con sede negli Emirati Arabi Uniti, sono gli obiettivi principali.
Il Network Detection and Response (NDR) è utile nella difesa contro Agrius?
Sì. NDR è particolarmente utile per rilevare il traffico C2 crittografato, i movimenti laterali anomali e i comportamenti di esfiltrazione dei dati che aggirano endpoint .