Onderzoeksteam van SentinelOne ontdekt nieuwe threat-groep: Agrius

Activiteit werd vermomd als ransomwareaanvallen

| SentinelOne | 2 min | 28 mei 2021 12:04
Afbeelding: De Agrius Attack-levenscyclus | Copyright: SentinelOne
SentinelOne heeft een nieuwe groep ontdekt die het SentinelLabs-onderzoeksteam aanduidt als Agrius en die vanaf het begin van 2020 actief is in Israël. Agrius was aanvankelijk betrokken bij spionageactiviteiten, maar voerde daarna een reeks destructieve wiper-aanvallen uit op Israëlische doelen, waarna de activiteit werd vermomd als ransomwareaanvallen.

Een van de wipers (malware die is bedoeld om de harde schijf van de computer te wissen) die bij de aanval werd gebruikt, genaamd ‘Apostle’, werd later omgezet in volledig functionele ransomware, die de wiper-functies verving. Het bericht erin suggereert dat het werd gebruikt om een kritiek staatsdoel in de Verenigde Arabische Emiraten te targeten. Vanwege de gelijkenis met zijn wiper-versie, evenals de aard van het doelwit in de context van regionale geschillen, gelooft SentinelOne dat de aanvallers die erachter zitten, ransomware gebruiken vanwege zijn ontwrichtende mogelijkheden.

Het gebruik van ransomware als een disruptieve tool is meestal moeilijk te bewijzen, omdat het moeilijk is om de intenties van een threat actor vast te stellen. Analyse van de Apostle-malware geeft een zeldzaam inzicht in dergelijke aanvallen en laat een duidelijk verband zien tussen wat begon als een wiper-malware en eindigde als volledig operationele ransomware.

Op basis van technische analyse van de tools en aanvalsinfrastructuur vermoedt SentinelOne dat de aanvallen werden uitgevoerd door een aan Iran gelieerde dreigingsgroep. Hoewel er enkele links naar bekende Iraanse actoren werden waargenomen, lijkt de reeks TTP's en tools uniek te zijn voor deze reeks activiteiten.

Agrius Attack-levenscyclus

De Agrius threat-groep gebruikt VPN-services (voornamelijk ProtonVPN) voor anonimisering bij toegang tot de publieke applicaties van zijn doelen. Na succesvolle exploitatie worden webshells geïnstalleerd of wordt eenvoudig toegang verkregen tot het doelwit met behulp van de VPN-oplossing die het doel gebruikt. De webshells die Agrius implementeert, zijn meestal variaties op ASPXSpy.

Agrius gebruikt die webshells om RDP-verkeer te tunnelen om gecompromitteerde accounts te gebruiken om lateraal te verplaatsen. In deze fase gebruiken de aanvallers allerlei openbaar beschikbare offensieve security-tools voor het verzamelen van inloggegevens en laterale verplaatsingen.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over SentinelOne

SentinelOne (NYSE: S) levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporings-functionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk.
Meer over SentinelOne

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029224512.jpg
Het no-nonsense internetbureau
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030101402.jpg
De grootste Nederlandse site over Android
20191029200614.jpg
Drive value with data
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.