Agrius

Agrius ist eine mit dem iranischen Staat verbundene APT-Gruppe, die für störende ransomware und Wiper-Angriffe bekannt ist und unter verschiedenen Decknamen wie SPECTRAL KITTEN und Black Shadow vor allem israelische und nahöstliche Einrichtungen angreift.

Ist Ihr Unternehmen vor den Angriffen von Agrius sicher?

Der Ursprung von Agrius

Agrius ist eine vom iranischen Staat gesponserte APT-Gruppe (Advanced Persistent Threat), die seit mindestens 2020 aktiv ist und eng mit dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zusammenarbeitet. Agrius, das auch unter Pseudonymen wie SPECTRAL KITTEN, Black Shadow und Pink Sandstorm bekannt ist, ist bekannt für seinen hybriden Einsatz von ransomware und malware bei destruktiven Operationen, insbesondere gegen israelische Einrichtungen. Ihre Kampagnen tarnen oft politisch motivierte Angriffe als finanziell motivierte ransomware , eine Taktik, die als "Lock-and-Leak" bezeichnet wird, bei der gestohlene Daten exfiltriert und dann über eCrime-Kanäle weitergegeben werden.

Die Gruppe macht ausgiebig Gebrauch von maßgeschneiderter malware wie IPSecHelper, ransomware und FlowTunnel-Proxy-Tools. Jüngste Erkenntnisse bringen die Betreiber von Agrius mit Jahat Pardaz in Verbindung, einer mutmaßlichen Tarnfirma des MOIS, und unterstreichen ihre Fähigkeit zu hochwirksamen Cyberoperationen.

Zielländer

Zu den wichtigsten geografischen Zielen gehören:

  • Israel, wo sich die meisten zerstörerischen Operationen und Diebstähle von Zugangsdaten konzentrieren.
  • Vereinigte Arabische Emirate (VAE), wo Agrius begrenzte, aber bemerkenswerte Störungen durchgeführt hat, die sich auch gegen Logistikunternehmen richteten.
  • Darüber hinaus wurden in der Vergangenheit Telekommunikationsinfrastrukturen in Südasien angegriffen, was auf eine gewisse operative Reichweite außerhalb des Nahen Ostens schließen lässt.

Angesprochene Branchen

Agrius verfügt über ein breites Spektrum an Zielgruppen im öffentlichen und privaten Sektor, darunter vor allem:

  • Akademische und Forschungseinrichtungen
  • Beratung und professionelle Dienstleistungen
  • Maschinenbau, Industrie und Logistik
  • Militär, Schifffahrt und Verkehr
  • Finanzdienstleistungen und Versicherungen
  • Technologie, Medien und Telekommunikation
  • Regierungsbehörden und Plattformen für soziale Medien

Ihre Fähigkeit, in so vielen Bereichen zu operieren, deutet auf eine strategische Ausrichtung auf iranische geopolitische Interessen hin, insbesondere im Bereich Spionage und Störung.

Bekannte Opfer

Zu den bekannten Opferprofilen gehören:

  • Israelische akademische Einrichtungen, wo sie mehrstufige Operationen durchgeführt haben, die das Abgreifen von Anmeldedaten und die Exfiltration von personenbezogenen Daten beinhalteten.
  • Ein Logistikunternehmen in den Vereinigten Arabischen Emiraten, das durch eine störende malware beeinträchtigt wurde.
  • Ein im Vereinigten Königreich ansässiges Nachrichtenmagazin der iranischen Opposition, das im Rahmen einer Beeinflussungsoperation ins Visier genommen wurde, was zeigt, dass Agrius neben technischen Eingriffen auch psychologische Operationen integriert.
Angriffsmethode

Die Agrius-Angriffsmethode

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Nutzt verwundbare, öffentlich zugängliche Anwendungen aus, insbesondere CVE-2018-13379 in FortiOS; nutzt ProtonVPN zur Anonymisierung.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Setzt malware als Dienst für Persistenz ein; verwendet PetitPotato für lokale Privilegienerweiterung.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Deaktiviert Sicherheitstools mit Anti-Rootkit-Tools wie GMER64.sys, ändert die EDR-Einstellungen und verwendet Masquerading-Techniken.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Dumpt LSASS-Speicher und SAM-Dateien mit Mimikatz; führt SMB Brute-Forcing und Passwort-Spraying durch.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Führt Host- und Netzwerk-Scans mit Tools wie NBTscan, SoftPerfect und WinEggDrop durch.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Verwendet RDP-Tunneling über Plink und ASPXSpy-Web-Shells; lädt Nutzdaten von öffentlichen File-Sharing-Diensten herunter.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Sammelt PII- und SQL-Daten mit benutzerdefinierten Tools wie sql.net4.exe; speichert Daten lokal in versteckten Verzeichnissen.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Führt Skripte und Binärdateien über die Windows-Befehlsshell aus; verwendet umbenannte Systemdienstprogramme zur Tarnung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Archiviert Daten mit 7zip; exfiltriert über Tools wie PuTTY und WinSCP über AES-verschlüsselte HTTP-Kanäle.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Setzt ransomware und Datenlöschprogramme ein, um den Betrieb zu stören; gibt Daten an die Öffentlichkeit weiter, um Operationen zu beeinflussen.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Nutzt verwundbare, öffentlich zugängliche Anwendungen aus, insbesondere CVE-2018-13379 in FortiOS; nutzt ProtonVPN zur Anonymisierung.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Setzt malware als Dienst für Persistenz ein; verwendet PetitPotato für lokale Privilegienerweiterung.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Deaktiviert Sicherheitstools mit Anti-Rootkit-Tools wie GMER64.sys, ändert die EDR-Einstellungen und verwendet Masquerading-Techniken.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Dumpt LSASS-Speicher und SAM-Dateien mit Mimikatz; führt SMB Brute-Forcing und Passwort-Spraying durch.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Führt Host- und Netzwerk-Scans mit Tools wie NBTscan, SoftPerfect und WinEggDrop durch.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Verwendet RDP-Tunneling über Plink und ASPXSpy-Web-Shells; lädt Nutzdaten von öffentlichen File-Sharing-Diensten herunter.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Sammelt PII- und SQL-Daten mit benutzerdefinierten Tools wie sql.net4.exe; speichert Daten lokal in versteckten Verzeichnissen.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Führt Skripte und Binärdateien über die Windows-Befehlsshell aus; verwendet umbenannte Systemdienstprogramme zur Tarnung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Archiviert Daten mit 7zip; exfiltriert über Tools wie PuTTY und WinSCP über AES-verschlüsselte HTTP-Kanäle.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Setzt ransomware und Datenlöschprogramme ein, um den Betrieb zu stören; gibt Daten an die Öffentlichkeit weiter, um Operationen zu beeinflussen.

MITRE ATT&CK Kartierung

Von Agrius verwendete TTPs

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1505
Server Software Component
T1078
Valid Accounts
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1078
Valid Accounts
TA0005: Defense Evasion
T1140
Deobfuscate/Decode Files or Information
T1036
Masquerading
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1046
Network Service Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
No items found.

Häufig gestellte Fragen

Was ist die Hauptmotivation von Agrius?

Wie erhält Agrius einen ersten Zugang zu den Netzen?

Für welche Art von malware ist Agrius bekannt?

Was sind die Methoden der Datenexfiltration von Agrius?

Wie können sie sich der Entdeckung entziehen?

Welches ist ihre bevorzugte Methode der Seitwärtsbewegung?

Welche Nachweisstrategien sind gegen Agrius wirksam?

Welche Branchen sind am stärksten durch Agrius gefährdet?

Ist Network Detection and Response (NDR) nützlich für die Abwehr von Agrius?