Agrius
Agrius ist eine mit dem iranischen Staat verbundene APT-Gruppe, die für störende ransomware und Wiper-Angriffe bekannt ist und unter verschiedenen Decknamen wie SPECTRAL KITTEN und Black Shadow vor allem israelische und nahöstliche Einrichtungen angreift.

Der Ursprung von Agrius
Agrius ist eine vom iranischen Staat gesponserte APT-Gruppe (Advanced Persistent Threat), die seit mindestens 2020 aktiv ist und eng mit dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zusammenarbeitet. Agrius, das auch unter Pseudonymen wie SPECTRAL KITTEN, Black Shadow und Pink Sandstorm bekannt ist, ist bekannt für seinen hybriden Einsatz von ransomware und malware bei destruktiven Operationen, insbesondere gegen israelische Einrichtungen. Ihre Kampagnen tarnen oft politisch motivierte Angriffe als finanziell motivierte ransomware , eine Taktik, die als "Lock-and-Leak" bezeichnet wird, bei der gestohlene Daten exfiltriert und dann über eCrime-Kanäle weitergegeben werden.
Die Gruppe macht ausgiebig Gebrauch von maßgeschneiderter malware wie IPSecHelper, ransomware und FlowTunnel-Proxy-Tools. Jüngste Erkenntnisse bringen die Betreiber von Agrius mit Jahat Pardaz in Verbindung, einer mutmaßlichen Tarnfirma des MOIS, und unterstreichen ihre Fähigkeit zu hochwirksamen Cyberoperationen.
Zielländer
Zu den wichtigsten geografischen Zielen gehören:
- Israel, wo sich die meisten zerstörerischen Operationen und Diebstähle von Zugangsdaten konzentrieren.
- Vereinigte Arabische Emirate (VAE), wo Agrius begrenzte, aber bemerkenswerte Störungen durchgeführt hat, die sich auch gegen Logistikunternehmen richteten.
- Darüber hinaus wurden in der Vergangenheit Telekommunikationsinfrastrukturen in Südasien angegriffen, was auf eine gewisse operative Reichweite außerhalb des Nahen Ostens schließen lässt.
Angesprochene Branchen
Agrius verfügt über ein breites Spektrum an Zielgruppen im öffentlichen und privaten Sektor, darunter vor allem:
- Akademische und Forschungseinrichtungen
- Beratung und professionelle Dienstleistungen
- Maschinenbau, Industrie und Logistik
- Militär, Schifffahrt und Verkehr
- Finanzdienstleistungen und Versicherungen
- Technologie, Medien und Telekommunikation
- Regierungsbehörden und Plattformen für soziale Medien
Ihre Fähigkeit, in so vielen Bereichen zu operieren, deutet auf eine strategische Ausrichtung auf iranische geopolitische Interessen hin, insbesondere im Bereich Spionage und Störung.
Bekannte Opfer
Zu den bekannten Opferprofilen gehören:
- Israelische akademische Einrichtungen, wo sie mehrstufige Operationen durchgeführt haben, die das Abgreifen von Anmeldedaten und die Exfiltration von personenbezogenen Daten beinhalteten.
- Ein Logistikunternehmen in den Vereinigten Arabischen Emiraten, das durch eine störende malware beeinträchtigt wurde.
- Ein im Vereinigten Königreich ansässiges Nachrichtenmagazin der iranischen Opposition, das im Rahmen einer Beeinflussungsoperation ins Visier genommen wurde, was zeigt, dass Agrius neben technischen Eingriffen auch psychologische Operationen integriert.
Die Agrius-Angriffsmethode

Nutzt verwundbare, öffentlich zugängliche Anwendungen aus, insbesondere CVE-2018-13379 in FortiOS; nutzt ProtonVPN zur Anonymisierung.

Setzt malware als Dienst für Persistenz ein; verwendet PetitPotato für lokale Privilegienerweiterung.

Deaktiviert Sicherheitstools mit Anti-Rootkit-Tools wie GMER64.sys, ändert die EDR-Einstellungen und verwendet Masquerading-Techniken.

Dumpt LSASS-Speicher und SAM-Dateien mit Mimikatz; führt SMB Brute-Forcing und Passwort-Spraying durch.

Führt Host- und Netzwerk-Scans mit Tools wie NBTscan, SoftPerfect und WinEggDrop durch.

Verwendet RDP-Tunneling über Plink und ASPXSpy-Web-Shells; lädt Nutzdaten von öffentlichen File-Sharing-Diensten herunter.

Sammelt PII- und SQL-Daten mit benutzerdefinierten Tools wie sql.net4.exe; speichert Daten lokal in versteckten Verzeichnissen.

Führt Skripte und Binärdateien über die Windows-Befehlsshell aus; verwendet umbenannte Systemdienstprogramme zur Tarnung.

Archiviert Daten mit 7zip; exfiltriert über Tools wie PuTTY und WinSCP über AES-verschlüsselte HTTP-Kanäle.

Setzt ransomware und Datenlöschprogramme ein, um den Betrieb zu stören; gibt Daten an die Öffentlichkeit weiter, um Operationen zu beeinflussen.

Nutzt verwundbare, öffentlich zugängliche Anwendungen aus, insbesondere CVE-2018-13379 in FortiOS; nutzt ProtonVPN zur Anonymisierung.

Setzt malware als Dienst für Persistenz ein; verwendet PetitPotato für lokale Privilegienerweiterung.

Deaktiviert Sicherheitstools mit Anti-Rootkit-Tools wie GMER64.sys, ändert die EDR-Einstellungen und verwendet Masquerading-Techniken.

Dumpt LSASS-Speicher und SAM-Dateien mit Mimikatz; führt SMB Brute-Forcing und Passwort-Spraying durch.

Führt Host- und Netzwerk-Scans mit Tools wie NBTscan, SoftPerfect und WinEggDrop durch.

Verwendet RDP-Tunneling über Plink und ASPXSpy-Web-Shells; lädt Nutzdaten von öffentlichen File-Sharing-Diensten herunter.

Sammelt PII- und SQL-Daten mit benutzerdefinierten Tools wie sql.net4.exe; speichert Daten lokal in versteckten Verzeichnissen.

Führt Skripte und Binärdateien über die Windows-Befehlsshell aus; verwendet umbenannte Systemdienstprogramme zur Tarnung.

Archiviert Daten mit 7zip; exfiltriert über Tools wie PuTTY und WinSCP über AES-verschlüsselte HTTP-Kanäle.

Setzt ransomware und Datenlöschprogramme ein, um den Betrieb zu stören; gibt Daten an die Öffentlichkeit weiter, um Operationen zu beeinflussen.
Von Agrius verwendete TTPs
Wie man Agrius mit Vectra AI AI erkennt
Häufig gestellte Fragen
Was ist die Hauptmotivation von Agrius?
Agrius führt Spionage- und Störaktionen durch, die mit den Interessen des iranischen Staates in Einklang stehen und oft als ransomware getarnt werden, um eine plausible Leugnung zu ermöglichen.
Wie erhält Agrius einen ersten Zugang zu den Netzen?
Sie nutzen vor allem öffentlich zugängliche Anwendungen aus, insbesondere Fortinets FortiOS (CVE-2018-13379), und verwenden VPN-Dienste wie ProtonVPN, um ihre Herkunft zu verschleiern.
Für welche Art von malware ist Agrius bekannt?
Agrius verwendet unter anderem IPSecHelper, Apostle ransomware, ASPXSpy und das FlowTunnel-Proxy-Tool.
Sie stellen malware als Windows-Dienste bereit (z. B. IPSecHelper) und verwenden Web-Shells für den langfristigen Zugriff.
Was sind die Methoden der Datenexfiltration von Agrius?
Die Daten werden mit 7zip archiviert, lokal bereitgestellt und mit PuTTY oder WinSCP exfiltriert, oft über verschlüsselte C2-Kanäle.
Wie können sie sich der Entdeckung entziehen?
Durch die Deaktivierung von EDR-Tools, getarnten Binärdateien und Base64-kodierten Skripten umgeht Agrius herkömmliche Abwehrmechanismen.
Welches ist ihre bevorzugte Methode der Seitwärtsbewegung?
Sie nutzen RDP-Tunneling über kompromittierte Web-Shells und Tools wie Plink sowie die Beschaffung gültiger Anmeldedaten.
Welche Nachweisstrategien sind gegen Agrius wirksam?
Die Überwachung auf anormales RDP-Tunneling, die Verwendung von Plink oder das plötzliche Auftauchen von Tools wie Mimikatz oder IPSecHelper kann effektiv sein. Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) und Verhaltensanalyse sind entscheidend.
Welche Branchen sind am stärksten durch Agrius gefährdet?
Organisationen in Israel aus Bereichen wie Wissenschaft, Telekommunikation und Logistik sowie in den VAE ansässige Logistik- und Transportunternehmen sind die Hauptziele.
Ist Network Detection and Response (NDR) nützlich für die Abwehr von Agrius?
Ja. NDR ist besonders wertvoll bei der Erkennung von verschlüsseltem C2-Verkehr, abnormalen seitlichen Bewegungen und Datenexfiltrationsverhalten, das die endpoint umgeht.