Agrius
Agrius, SPECTRAL KITTEN ve Black Shadow gibi çeşitli takma adlar altında öncelikle İsrail ve Orta Doğu kuruluşlarını hedef alan yıkıcı fidye yazılımı ve silecek saldırılarıyla bilinen İran devletiyle bağlantılı bir APT grubudur.
Agrius'un Kökeni
Agrius, en az 2020'den beri aktif olan ve İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile yakından bağlantılı, İran devlet destekli bir Gelişmiş Kalıcı Tehdit (APT) grubudur. SPECTRAL KITTEN, Black Shadow ve Pink Sandstorm gibi takma adlarla da takip edilen Agrius, özellikle İsrail kuruluşlarına karşı yıkıcı operasyonlarda fidye malware ve silecek malware karma olarak kullanmasıyla bilinir. Kampanyaları genellikle siyasi amaçlı saldırıları mali amaçlı fidye yazılımı vakaları olarak gizler; bu taktik, çalınan verilerin dışarı sızdırıldığı ve daha sonra eSuç kanalları aracılığıyla sızdırıldığı "kilitleve sızdır" olarak adlandırılır.
Grup, IPSecHelper, Apostle fidye malware ve FlowTunnel proxy araçları gibi özel malware kapsamlı bir şekilde kullanmaktadır. Son istihbarat Agrius operatörlerini MOIS için paravan bir şirket olduğundan şüphelenilen Jahat Pardaz ile ilişkilendirmekte ve yüksek etkili siber operasyonlardaki kabiliyetlerini vurgulamaktadır.
Hedeflenen Ülkeler
Birincil coğrafi hedefler şunlardır:
- İsrail, yıkıcı ve kimlik hırsızlığı operasyonlarının çoğunun yoğunlaştığı yer.
- Birleşik Arap Emirlikleri (BAE), Agrius'un lojistik firmalarını hedef almak da dahil olmak üzere sınırlı ancak kayda değer kesintilere giriştiği yer.
- Buna ek olarak, Güney Asya'daki telekomünikasyon altyapısının tarihsel olarak hedef alınmış olması, Orta Doğu dışında da bazı operasyonel erişimlere işaret etmektedir.
Hedeflenen Sektörler
Agrius'un hem kamu hem de özel sektörde geniş bir hedefleme kapsamı bulunmaktadır:
- Akademik ve araştırma kurumları
- Danışmanlık ve profesyonel hizmetler
- Mühendislik, sanayi ve lojistik
- Askeri, denizcilik ve taşımacılık
- Finansal hizmetler ve sigorta
- Teknoloji, medya ve telekomünikasyon
- Devlet kurumları ve sosyal medya platformları
Bu kadar çok alanda faaliyet gösterebilmeleri, İran'ın jeopolitik çıkarlarıyla, özellikle de casusluk ve yıkıcılık alanlarında stratejik bir uyum içinde olduklarını göstermektedir.
Bilinen Kurbanlar
Bilinen kurban profilleri şunlardır:
- İsrailli akademik kurumlar, kimlik bilgilerinin toplanması ve PII sızıntısını içeren çok aşamalı operasyonlar gerçekleştirdiler.
- BAE'de yıkıcı malware etkilenen bir lojistik kuruluşu.
- Agrius'un teknik müdahalenin yanı sıra psikolojik operasyonları da entegre ettiğini gösteren bir etki operasyonunda hedef alınan İran muhalifi İngiltere merkezli bir haber kuruluşu.
Agrius Saldırı Yöntemi
FortiOS'taki CVE-2018-13379 başta olmak üzere halka açık uygulamalardaki güvenlik açıklarından yararlanır; anonimleştirme için ProtonVPN kullanır.
Kalıcılık için IPSecHelper malware bir hizmet olarak dağıtır; yerel ayrıcalık yükseltme için PetitPotato kullanır.
GMER64.sys gibi anti-rootkit araçları ile güvenlik araçlarını devre dışı bırakır, EDR ayarlarını değiştirir ve maskeleme tekniklerini kullanır.
LSASS belleğini ve SAM dosyalarını Mimikatz ile döker; SMB kaba zorlama ve parola püskürtme işlemlerini gerçekleştirir.
NBTscan, SoftPerfect ve WinEggDrop gibi araçlarla ana bilgisayar ve ağ taraması yapar.
Plink ve ASPXSpy web kabukları aracılığıyla RDP tünelleme kullanır; genel dosya paylaşım hizmetlerinden yük indirir.
sql.net4.exe gibi özel araçlar kullanarak PII ve SQL verilerini toplar; verileri yerel olarak gizli dizinlerde aşamalandırır.
Windows komut kabuğu aracılığıyla komut dosyalarını ve ikili dosyaları çalıştırır; gizlilik için yeniden adlandırılmış sistem yardımcı programlarını kullanır.
Verileri 7zip kullanarak arşivler; PuTTY ve WinSCP gibi araçlar aracılığıyla AES şifreli HTTP kanalları üzerinden dışarı sızar.
Operasyonel aksamaya neden olmak için Apostle fidye yazılımı ve veri silicileri kullanır; operasyonları etkilemek için verileri kamuya sızdırır.
FortiOS'taki CVE-2018-13379 başta olmak üzere halka açık uygulamalardaki güvenlik açıklarından yararlanır; anonimleştirme için ProtonVPN kullanır.
Kalıcılık için IPSecHelper malware bir hizmet olarak dağıtır; yerel ayrıcalık yükseltme için PetitPotato kullanır.
GMER64.sys gibi anti-rootkit araçları ile güvenlik araçlarını devre dışı bırakır, EDR ayarlarını değiştirir ve maskeleme tekniklerini kullanır.
LSASS belleğini ve SAM dosyalarını Mimikatz ile döker; SMB kaba zorlama ve parola püskürtme işlemlerini gerçekleştirir.
NBTscan, SoftPerfect ve WinEggDrop gibi araçlarla ana bilgisayar ve ağ taraması yapar.
Plink ve ASPXSpy web kabukları aracılığıyla RDP tünelleme kullanır; genel dosya paylaşım hizmetlerinden yük indirir.
sql.net4.exe gibi özel araçlar kullanarak PII ve SQL verilerini toplar; verileri yerel olarak gizli dizinlerde aşamalandırır.
Windows komut kabuğu aracılığıyla komut dosyalarını ve ikili dosyaları çalıştırır; gizlilik için yeniden adlandırılmış sistem yardımcı programlarını kullanır.
Verileri 7zip kullanarak arşivler; PuTTY ve WinSCP gibi araçlar aracılığıyla AES şifreli HTTP kanalları üzerinden dışarı sızar.
Operasyonel aksamaya neden olmak için Apostle fidye yazılımı ve veri silicileri kullanır; operasyonları etkilemek için verileri kamuya sızdırır.
Agrius tarafından kullanılan TTP'ler
Vectra AI ile Agrius Nasıl Tespit Edilir
Sıkça Sorulan Sorular
Agrius'un temel motivasyonu nedir?
Agrius, İran devletinin çıkarlarıyla uyumlu casusluk ve yıkıcı operasyonlar yürütmekte, bu operasyonlar genellikle makul inkar edilebilirlik için fidye yazılımı olarak maskelenmektedir.
Agrius ağlara ilk erişimi nasıl elde ediyor?
Öncelikle Fortinet'in FortiOS'u (CVE-2018-13379) başta olmak üzere halka açık uygulamalardan yararlanıyor ve kaynaklarını gizlemek için ProtonVPN gibi VPN hizmetlerini kullanıyorlar.
Agrius ne tür malware tanınıyor?
Agrius diğerlerinin yanı sıra IPSecHelper, Apostle fidye yazılımı, ASPXSpy ve FlowTunnel proxy aracını kullanmaktadır.
malware Windows hizmetleri (örneğin, IPSecHelper) olarak dağıtırlar ve uzun süreli erişim için web kabuklarını kullanırlar.
Agrius'un veri sızdırma yöntemleri nelerdir?
Veriler 7zip kullanılarak arşivlenir, yerel olarak hazırlanır ve PuTTY veya WinSCP kullanılarak, genellikle şifrelenmiş C2 kanalları üzerinden dışarı sızdırılır.
Tespit edilmekten nasıl kaçıyorlar?
Agrius, EDR araçlarını devre dışı bırakarak, ikili dosyaları maskeleyerek ve komut dosyalarını base64 kodlayarak geleneksel savunmaları atlatır.
Tercih ettikleri yanal hareket yöntemi nedir?
Tehlikeye atılmış web kabukları ve Plink gibi araçlar aracılığıyla RDP tüneli kullanmanın yanı sıra geçerli kimlik bilgileri edinirler.
Agrius'a karşı hangi tespit stratejileri etkilidir?
Anormal RDP tünelleme, Plink kullanımı veya Mimikatz ya da IPSecHelper gibi araçların aniden ortaya çıkmasını izlemek etkili olabilir. Ağ Algılama ve Yanıtlama (NDR) ve davranışsal analitik çok önemlidir.
Agrius açısından en yüksek risk altında olan sektörler hangileridir?
İsrail 'de akademi, telekom ve lojistik gibi sektörlerdeki kuruluşların yanı sıra BAE merkezli lojistik ve taşımacılık firmaları öncelikli hedeflerdir.
Ağ Algılama ve Yanıtlama (NDR) Agrius'a karşı savunmada faydalı mı?
Evet. NDR özellikle şifrelenmiş C2 trafiğini, anormal yanal hareketleri ve uç nokta kontrollerini atlatan veri sızma davranışlarını tespit etmede değerlidir.