Agrius

Agrius, SPECTRAL KITTEN ve Black Shadow gibi çeşitli takma adlar altında öncelikle İsrail ve Orta Doğu kuruluşlarını hedef alan yıkıcı fidye yazılımı ve silecek saldırılarıyla bilinen İran devletiyle bağlantılı bir APT grubudur.

Kuruluşunuz Agrius'un Saldırılarına Karşı Güvende mi?

Agrius'un Kökeni

Agrius, en az 2020'den beri aktif olan ve İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile yakından bağlantılı, İran devlet destekli bir Gelişmiş Kalıcı Tehdit (APT) grubudur. SPECTRAL KITTEN, Black Shadow ve Pink Sandstorm gibi takma adlarla da takip edilen Agrius, özellikle İsrail kuruluşlarına karşı yıkıcı operasyonlarda fidye malware ve silecek malware karma olarak kullanmasıyla bilinir. Kampanyaları genellikle siyasi amaçlı saldırıları mali amaçlı fidye yazılımı vakaları olarak gizler; bu taktik, çalınan verilerin dışarı sızdırıldığı ve daha sonra eSuç kanalları aracılığıyla sızdırıldığı "kilitleve sızdır" olarak adlandırılır.

Grup, IPSecHelper, Apostle fidye malware ve FlowTunnel proxy araçları gibi özel malware kapsamlı bir şekilde kullanmaktadır. Son istihbarat Agrius operatörlerini MOIS için paravan bir şirket olduğundan şüphelenilen Jahat Pardaz ile ilişkilendirmekte ve yüksek etkili siber operasyonlardaki kabiliyetlerini vurgulamaktadır.

Hedeflenen Ülkeler

Birincil coğrafi hedefler şunlardır:

  • İsrail, yıkıcı ve kimlik hırsızlığı operasyonlarının çoğunun yoğunlaştığı yer.
  • Birleşik Arap Emirlikleri (BAE), Agrius'un lojistik firmalarını hedef almak da dahil olmak üzere sınırlı ancak kayda değer kesintilere giriştiği yer.
  • Buna ek olarak, Güney Asya'daki telekomünikasyon altyapısının tarihsel olarak hedef alınmış olması, Orta Doğu dışında da bazı operasyonel erişimlere işaret etmektedir.

Hedeflenen Sektörler

Agrius'un hem kamu hem de özel sektörde geniş bir hedefleme kapsamı bulunmaktadır:

  • Akademik ve araştırma kurumları
  • Danışmanlık ve profesyonel hizmetler
  • Mühendislik, sanayi ve lojistik
  • Askeri, denizcilik ve taşımacılık
  • Finansal hizmetler ve sigorta
  • Teknoloji, medya ve telekomünikasyon
  • Devlet kurumları ve sosyal medya platformları

Bu kadar çok alanda faaliyet gösterebilmeleri, İran'ın jeopolitik çıkarlarıyla, özellikle de casusluk ve yıkıcılık alanlarında stratejik bir uyum içinde olduklarını göstermektedir.

Bilinen Kurbanlar

Bilinen kurban profilleri şunlardır:

  • İsrailli akademik kurumlar, kimlik bilgilerinin toplanması ve PII sızıntısını içeren çok aşamalı operasyonlar gerçekleştirdiler.
  • BAE'de yıkıcı malware etkilenen bir lojistik kuruluşu.
  • Agrius'un teknik müdahalenin yanı sıra psikolojik operasyonları da entegre ettiğini gösteren bir etki operasyonunda hedef alınan İran muhalifi İngiltere merkezli bir haber kuruluşu.
Saldırı Yöntemi

Agrius Saldırı Yöntemi

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

FortiOS'taki CVE-2018-13379 başta olmak üzere halka açık uygulamalardaki güvenlik açıklarından yararlanır; anonimleştirme için ProtonVPN kullanır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Kalıcılık için IPSecHelper malware bir hizmet olarak dağıtır; yerel ayrıcalık yükseltme için PetitPotato kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

GMER64.sys gibi anti-rootkit araçları ile güvenlik araçlarını devre dışı bırakır, EDR ayarlarını değiştirir ve maskeleme tekniklerini kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

LSASS belleğini ve SAM dosyalarını Mimikatz ile döker; SMB kaba zorlama ve parola püskürtme işlemlerini gerçekleştirir.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

NBTscan, SoftPerfect ve WinEggDrop gibi araçlarla ana bilgisayar ve ağ taraması yapar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Plink ve ASPXSpy web kabukları aracılığıyla RDP tünelleme kullanır; genel dosya paylaşım hizmetlerinden yük indirir.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

sql.net4.exe gibi özel araçlar kullanarak PII ve SQL verilerini toplar; verileri yerel olarak gizli dizinlerde aşamalandırır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Windows komut kabuğu aracılığıyla komut dosyalarını ve ikili dosyaları çalıştırır; gizlilik için yeniden adlandırılmış sistem yardımcı programlarını kullanır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Verileri 7zip kullanarak arşivler; PuTTY ve WinSCP gibi araçlar aracılığıyla AES şifreli HTTP kanalları üzerinden dışarı sızar.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Operasyonel aksamaya neden olmak için Apostle fidye yazılımı ve veri silicileri kullanır; operasyonları etkilemek için verileri kamuya sızdırır.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

FortiOS'taki CVE-2018-13379 başta olmak üzere halka açık uygulamalardaki güvenlik açıklarından yararlanır; anonimleştirme için ProtonVPN kullanır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Kalıcılık için IPSecHelper malware bir hizmet olarak dağıtır; yerel ayrıcalık yükseltme için PetitPotato kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

GMER64.sys gibi anti-rootkit araçları ile güvenlik araçlarını devre dışı bırakır, EDR ayarlarını değiştirir ve maskeleme tekniklerini kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

LSASS belleğini ve SAM dosyalarını Mimikatz ile döker; SMB kaba zorlama ve parola püskürtme işlemlerini gerçekleştirir.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

NBTscan, SoftPerfect ve WinEggDrop gibi araçlarla ana bilgisayar ve ağ taraması yapar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Plink ve ASPXSpy web kabukları aracılığıyla RDP tünelleme kullanır; genel dosya paylaşım hizmetlerinden yük indirir.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

sql.net4.exe gibi özel araçlar kullanarak PII ve SQL verilerini toplar; verileri yerel olarak gizli dizinlerde aşamalandırır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Windows komut kabuğu aracılığıyla komut dosyalarını ve ikili dosyaları çalıştırır; gizlilik için yeniden adlandırılmış sistem yardımcı programlarını kullanır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Verileri 7zip kullanarak arşivler; PuTTY ve WinSCP gibi araçlar aracılığıyla AES şifreli HTTP kanalları üzerinden dışarı sızar.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Operasyonel aksamaya neden olmak için Apostle fidye yazılımı ve veri silicileri kullanır; operasyonları etkilemek için verileri kamuya sızdırır.

MITRE ATT&CK Haritalama

Agrius tarafından kullanılan TTP'ler

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1505
Server Software Component
T1078
Valid Accounts
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1078
Valid Accounts
TA0005: Defense Evasion
T1140
Deobfuscate/Decode Files or Information
T1036
Masquerading
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1046
Network Service Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
No items found.

Sıkça Sorulan Sorular

Agrius'un temel motivasyonu nedir?

Agrius ağlara ilk erişimi nasıl elde ediyor?

Agrius ne tür malware tanınıyor?

Agrius'un veri sızdırma yöntemleri nelerdir?

Tespit edilmekten nasıl kaçıyorlar?

Tercih ettikleri yanal hareket yöntemi nedir?

Agrius'a karşı hangi tespit stratejileri etkilidir?

Agrius açısından en yüksek risk altında olan sektörler hangileridir?

Ağ Algılama ve Yanıtlama (NDR) Agrius'a karşı savunmada faydalı mı?