Agrius
Agrius è un gruppo APT legato allo Stato iraniano, noto per i suoi attacchi distruttivi con ransomware e wiper, che prendono di mira principalmente entità israeliane e mediorientali sotto vari pseudonimi, tra cui SPECTRAL KITTEN e Black Shadow.
L'origine di Agrius
Agrius è un gruppo iraniano di tipo Advanced Persistent Threat (APT), sostenuto dallo Stato e attivo almeno dal 2020, strettamente legato al Ministero dell’Intelligence e della Sicurezza (MOIS) iraniano. Monitorato anche con pseudonimi quali SPECTRAL KITTEN, Black Shadow e Pink Sandstorm, Agrius è noto per l’uso ibrido di ransomware e malware wiper nelle operazioni distruttive, in particolare contro entità israeliane. Le loro campagne spesso mascherano attacchi di natura politica come incidenti di ransomware a scopo economico, una tattica denominata“lock-and-leak”in cui i dati rubati vengono sottratti e poi divulgati tramite canali di criminalità informatica.
Il gruppo fa ampio ricorso a malware personalizzati, quali IPSecHelper, il ransomware Apostle e gli strumenti proxy FlowTunnel. Recenti informazioni di intelligence collegano gli operatori di Agrius a Jahat Pardaz, una società che si sospetta funga da copertura per il MOIS, e mettono in evidenza la loro capacità di condurre operazioni informatiche di grande impatto.
Paesi destinatari
Tra le principali aree geografiche di riferimento figurano:
- Israele, dove si concentra la maggior parte delle operazioni distruttive e di furto di credenziali.
- Emirati Arabi Uniti (EAU), dove Agrius ha compiuto attacchi limitati ma di rilievo, prendendo di mira anche aziende di logistica.
- Inoltre, in passato si sono verificati attacchi mirati alle infrastrutture di telecomunicazione nell’Asia meridionale, il che fa supporre una certa portata operativa al di fuori del Medio Oriente.
Settori di riferimento
Agrius vanta un ampio raggio d'azione che abbraccia sia il settore pubblico che quello privato, in particolare:
- Istituzioni accademiche e di ricerca
- Consulenza e servizi professionali
- Ingegneria, settore industriale e logistica
- Settore militare, marittimo e dei trasporti
- Servizi finanziari e assicurativi
- Tecnologia, media e telecomunicazioni
- Enti governativi e piattaforme di social media
La loro capacità di operare in così tanti settori diversi denota un allineamento strategico con gli interessi geopolitici iraniani, in particolare nell'ambito dello spionaggio e delle attività di destabilizzazione.
Vittime accertate
Tra i profili delle vittime note figurano:
- Istituzioni accademiche israeliane, dove hanno condotto operazioni in più fasi che hanno comportato la raccolta di credenziali e l'esfiltrazione di dati personali.
- Un'azienda di logistica negli Emirati Arabi Uniti, colpita da malware particolarmente dannoso.
- Un organo di informazione dell'opposizione iraniana con sede nel Regno Unito, preso di mira in un'operazione di influenza, a dimostrazione di come Agrius integri le operazioni psicologiche con le intrusioni tecniche.
Il metodo di attacco di Agrius
Sfrutta le vulnerabilità delle applicazioni pubbliche, in particolare la vulnerabilità CVE-2018-13379 in FortiOS; utilizza ProtonVPN per garantire l'anonimato.
Distribuisce malware IPSecHelper malware servizio per garantire la persistenza; utilizza PetitPotato per l'escalation dei privilegi locali.
Disattiva gli strumenti di sicurezza con strumenti anti-rootkit come GMER64.sys, modifica le impostazioni EDR e utilizza tecniche di mascheramento.
Esegue il dump della memoria LSASS e dei file SAM con Mimikatz; effettua attacchi di forza bruta SMB e password spraying.
Esegue la scansione degli host e della rete con strumenti quali NBTscan, SoftPerfect e WinEggDrop.
Utilizza il tunneling RDP tramite Plink e le web shell ASPXSpy; scarica i payload da servizi pubblici di condivisione file.
Raccoglie dati personali identificativi (PII) e dati SQL utilizzando strumenti personalizzati come sql.net4.exe; archivia temporaneamente i dati in directory nascoste sul computer locale.
Esegue script e file binari tramite la riga di comando di Windows; utilizza utilità di sistema rinominate per nascondere la propria attività.
Archivia i dati utilizzando 7zip; li trasferisce all'esterno tramite strumenti come PuTTY e WinSCP attraverso canali HTTP crittografati con AES.
Distribuisce il ransomware Apostle e programmi di cancellazione dei dati per causare interruzioni operative; divulga i dati al pubblico a fini di manipolazione dell'opinione pubblica.
Sfrutta le vulnerabilità delle applicazioni pubbliche, in particolare la vulnerabilità CVE-2018-13379 in FortiOS; utilizza ProtonVPN per garantire l'anonimato.
Distribuisce malware IPSecHelper malware servizio per garantire la persistenza; utilizza PetitPotato per l'escalation dei privilegi locali.
Disattiva gli strumenti di sicurezza con strumenti anti-rootkit come GMER64.sys, modifica le impostazioni EDR e utilizza tecniche di mascheramento.
Esegue il dump della memoria LSASS e dei file SAM con Mimikatz; effettua attacchi di forza bruta SMB e password spraying.
Esegue la scansione degli host e della rete con strumenti quali NBTscan, SoftPerfect e WinEggDrop.
Utilizza il tunneling RDP tramite Plink e le web shell ASPXSpy; scarica i payload da servizi pubblici di condivisione file.
Raccoglie dati personali identificativi (PII) e dati SQL utilizzando strumenti personalizzati come sql.net4.exe; archivia temporaneamente i dati in directory nascoste sul computer locale.
Esegue script e file binari tramite la riga di comando di Windows; utilizza utilità di sistema rinominate per nascondere la propria attività.
Archivia i dati utilizzando 7zip; li trasferisce all'esterno tramite strumenti come PuTTY e WinSCP attraverso canali HTTP crittografati con AES.
Distribuisce il ransomware Apostle e programmi di cancellazione dei dati per causare interruzioni operative; divulga i dati al pubblico a fini di manipolazione dell'opinione pubblica.
TTP utilizzati da Agrius
Come individuare Agrius con Vectra AI
Domande frequenti
Qual è la motivazione principale di Agrius?
Agrius conduce operazioni di spionaggio e di sabotaggio in linea con gli interessi dello Stato iraniano, spesso camuffate da attacchi ransomware per poter negare ogni coinvolgimento.
In che modo Agrius ottiene l'accesso iniziale alle reti?
Sfruttano principalmente applicazioni accessibili al pubblico, in particolare FortiOS di Fortinet (CVE-2018-13379), e utilizzano servizi VPN come ProtonVPN per nascondere la loro provenienza.
Per quale tipo di malware noto Agrius?
Agrius utilizza, tra gli altri, IPSecHelper, il ransomware Apostle, ASPXSpy e lo strumento proxy FlowTunnel.
Distribuiscono malware servizi Windows (ad esempio, IPSecHelper) e utilizzano web shell per garantire un accesso a lungo termine.
Quali sono i metodi di esfiltrazione dei dati utilizzati da Agrius?
I dati vengono archiviati con 7zip, trasferiti in locale e poi sottratti tramite PuTTY o WinSCP, spesso attraverso canali C2 crittografati.
Come riescono a sfuggire ai controlli?
Disattivando gli strumenti EDR, mascherando i file binari e codificando gli script in base64, Agrius elude le difese tradizionali.
Qual è il loro metodo preferito per spostarsi lateralmente?
Utilizzano il tunneling RDP tramite web shell compromesse e strumenti come Plink, oltre ad acquisire credenziali valide.
Quali strategie di monitoraggio sono efficaci contro l'Agrius?
Può rivelarsi efficace monitorare la presenza di tunnel RDP anomali, l'uso di Plink o la comparsa improvvisa di strumenti come Mimikatz o IPSecHelper. Le soluzioni di rilevamento e risposta alle minacce di rete (NDR) e l'analisi comportamentale sono fondamentali.
Quali sono i settori più a rischio a causa di Agrius?
Gli obiettivi principali sono le organizzazioni israeliane operanti in settori quali il mondo accademico, le telecomunicazioni e la logistica, nonché le aziende di logistica e trasporti con sede negli Emirati Arabi Uniti.
Il Network Detection and Response (NDR) è utile per difendersi da Agrius?
Sì. L'NDR è particolarmente utile per individuare il traffico C2 crittografato, i movimenti laterali anomali e i comportamenti di esfiltrazione dei dati che eludono endpoint .