Agrius
Agrius è un gruppo APT legato allo stato iraniano noto per attacchi ransomware e wiper dirompenti, principalmente rivolti a entità israeliane e mediorientali con vari alias, tra cui SPECTRAL KITTEN e Black Shadow.
L'origine di Agrius
Agrius è un gruppo di Advanced Persistent Threat (APT) sponsorizzato dallo Stato iraniano, attivo almeno dal 2020 e strettamente allineato con il Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). Rintracciato anche con pseudonimi quali SPECTRAL KITTEN, Black Shadow e Pink Sandstorm, Agrius è noto per l'uso ibrido di ransomware e malware wiper nelle operazioni distruttive, in particolare contro entità israeliane. Le loro campagne spesso mascherano attacchi a sfondo politico come incidenti ransomware a sfondo finanziario, una tattica definita "lock-and-leak" in cui i dati rubati vengono esfiltrati e poi diffusi attraverso i canali dell'eCrime.
Il gruppo fa ampio uso di malware personalizzato, come IPSecHelper, Apostle ransomware e strumenti proxy FlowTunnel. Recenti informazioni di intelligence collegano gli operatori di Agrius a Jahat Pardaz, una sospetta società di facciata del MOIS, e ne evidenziano la capacità di effettuare operazioni informatiche ad alto impatto.
Paesi destinatari
I target geografici principali includono:
- Israele, dove si concentra la maggior parte delle operazioni distruttive e di furto di credenziali.
- Emirati Arabi Uniti (EAU), dove Agrius ha messo in atto azioni di disturbo limitate ma degne di nota, prendendo di mira anche aziende di logistica.
- Inoltre, in passato sono state prese di mira le infrastrutture di telecomunicazione dell'Asia meridionale, il che suggerisce una certa portata operativa al di fuori del Medio Oriente.
Settori mirati
Agrius ha un ampio raggio d'azione nel settore pubblico e privato, che comprende in particolare:
- Istituzioni accademiche e di ricerca
- Consulenza e servizi professionali
- Ingegneria, industria e logistica
- Militare, marittimo e dei trasporti
- Servizi finanziari e assicurativi
- Tecnologia, media e telecomunicazioni
- Agenzie governative e piattaforme di social media
La loro capacità di operare in così tanti ambiti verticali indica un allineamento strategico con gli interessi geopolitici iraniani, in particolare nello spionaggio e nell'interruzione.
Vittime conosciute
I profili noti delle vittime includono:
- Istituzioni accademiche israeliane, dove hanno condotto operazioni in più fasi che prevedono la raccolta di credenziali e l'esfiltrazione di PII.
- Un'entità logistica degli Emirati Arabi Uniti colpita da un malware dirompente.
- Un organo di informazione dell'opposizione iraniana con sede nel Regno Unito, preso di mira in un'operazione di influenza, che dimostra l'integrazione delle operazioni psicologiche di Agrius con l'intrusione tecnica.
Il metodo di attacco di Agrius
Sfrutta applicazioni vulnerabili rivolte al pubblico, in particolare CVE-2018-13379 in FortiOS; utilizza ProtonVPN per l'anonimizzazione.
Distribuisce il malware IPSecHelper come servizio per la persistenza; utilizza PetitPotato per l'escalation dei privilegi locali.
Disattiva gli strumenti di sicurezza con strumenti anti-rootkit come GMER64.sys, modifica le impostazioni EDR e utilizza tecniche di mascheramento.
Scarica la memoria LSASS e i file SAM con Mimikatz; si impegna nel brute forcing SMB e nello spraying delle password.
Esegue la scansione di host e reti con strumenti come NBTscan, SoftPerfect e WinEggDrop.
Utilizza il tunneling RDP tramite le shell web Plink e ASPXSpy; scarica i payload dai servizi pubblici di condivisione dei file.
Raccoglie dati PII e SQL utilizzando strumenti personalizzati, come sql.net4.exe; conserva i dati localmente in directory nascoste.
Esegue script e file binari tramite la shell di comando di Windows; utilizza utility di sistema rinominate per non dare nell'occhio.
Archivia i dati utilizzando 7zip; si infiltra tramite strumenti come PuTTY e WinSCP attraverso canali HTTP crittografati AES.
Impiega il ransomware Apostle e i data wipers per causare interruzioni operative; divulga i dati al pubblico per influenzare le operazioni.
Sfrutta applicazioni vulnerabili rivolte al pubblico, in particolare CVE-2018-13379 in FortiOS; utilizza ProtonVPN per l'anonimizzazione.
Distribuisce il malware IPSecHelper come servizio per la persistenza; utilizza PetitPotato per l'escalation dei privilegi locali.
Disattiva gli strumenti di sicurezza con strumenti anti-rootkit come GMER64.sys, modifica le impostazioni EDR e utilizza tecniche di mascheramento.
Scarica la memoria LSASS e i file SAM con Mimikatz; si impegna nel brute forcing SMB e nello spraying delle password.
Esegue la scansione di host e reti con strumenti come NBTscan, SoftPerfect e WinEggDrop.
Utilizza il tunneling RDP tramite le shell web Plink e ASPXSpy; scarica i payload dai servizi pubblici di condivisione dei file.
Raccoglie dati PII e SQL utilizzando strumenti personalizzati, come sql.net4.exe; conserva i dati localmente in directory nascoste.
Esegue script e file binari tramite la shell di comando di Windows; utilizza utility di sistema rinominate per non dare nell'occhio.
Archivia i dati utilizzando 7zip; si infiltra tramite strumenti come PuTTY e WinSCP attraverso canali HTTP crittografati AES.
Impiega il ransomware Apostle e i data wipers per causare interruzioni operative; divulga i dati al pubblico per influenzare le operazioni.
TTP utilizzati da Agrius
Come rilevare Agrius con Vectra AI
DOMANDE FREQUENTI
Qual è la motivazione principale di Agrius?
Agrius conduce operazioni di spionaggio e di disturbo allineate con gli interessi dello Stato iraniano, spesso mascherate da ransomware per una plausibile negabilità.
In che modo Agrius ottiene l'accesso iniziale alle reti?
Sfruttano principalmente le applicazioni rivolte al pubblico, in particolare FortiOS di Fortinet (CVE-2018-13379), e utilizzano servizi VPN come ProtonVPN per nascondere la loro origine.
Per quale tipo di malware è noto Agrius?
Agrius utilizza, tra gli altri, IPSecHelper, Apostle ransomware, ASPXSpy e lo strumento proxy FlowTunnel.
Distribuiscono il malware come servizi Windows (ad esempio, IPSecHelper) e utilizzano shell Web per l'accesso a lungo termine.
Quali sono i metodi di esfiltrazione dei dati di Agrius?
I dati vengono archiviati con 7zip, messi in scena localmente ed esfiltrati con PuTTY o WinSCP, spesso su canali C2 criptati.
Come fanno a eludere il rilevamento?
Disabilitando gli strumenti EDR, i binari mascherati e gli script di codifica base64, Agrius elude le difese tradizionali.
Qual è il loro metodo preferito di spostamento laterale?
Utilizzano il tunneling RDP attraverso shell web compromesse e strumenti come Plink, oltre ad acquisire credenziali valide.
Quali strategie di rilevamento sono efficaci contro l'Agrius?
Il monitoraggio di tunneling RDP anomali, dell'uso di Plink o della comparsa improvvisa di strumenti come Mimikatz o IPSecHelper può essere efficace. Il rilevamento e la risposta della rete (NDR) e l'analisi comportamentale sono fondamentali.
Quali sono i settori industriali più a rischio per Agrius?
Gli obiettivi principali sono le organizzazioni israeliane che operano in settori quali l 'università, le telecomunicazioni e la logistica, nonché le aziende di logistica e trasporto con sede negli Emirati Arabi Uniti.
Il Network Detection and Response (NDR) è utile per difendersi da Agrius?
Sì. L 'NDR è particolarmente utile per rilevare il traffico C2 criptato, i movimenti laterali anomali e i comportamenti di esfiltrazione dei dati che eludono i controlli endpoint .