Agrius
Agrius est un groupe APT lié à l'État iranien connu pour ses ransomwares perturbateurs et ses attaques par wiper, ciblant principalement des entités israéliennes et du Moyen-Orient sous divers pseudonymes, dont SPECTRAL KITTEN et Black Shadow.

L'origine d'Agrius
Agrius est un groupe de menaces persistantes avancées (APT) parrainé par l'État iranien, actif depuis au moins 2020 et étroitement lié au ministère iranien du Renseignement et de la Sécurité (MOIS). Également repéré sous des pseudonymes tels que SPECTRAL KITTEN, Black Shadow et Pink Sandstorm, Agrius est connu pour son utilisation hybride de ransomware et de wiper malware dans des opérations destructrices, en particulier contre des entités israéliennes. Ses campagnes déguisent souvent des attaques à motivation politique en incidents de ransomware à motivation financière, une tactique appelée "lock-and-leak" où les données volées sont exfiltrées puis divulguées via les canaux de la cybercriminalité.
Le groupe fait un usage intensif de malware personnalisés, tels que IPSecHelper, le ransomware Apostle et les outils de proxy FlowTunnel. Des renseignements récents établissent un lien entre les opérateurs d'Agrius et Jahat Pardaz, une société de façade soupçonnée d'appartenir au ministère de l'intérieur, et mettent en évidence leur capacité à mener des cyberopérations à fort impact.
Pays ciblés
Les principales cibles géographiques sont les suivantes
- Israël, où se concentre la majorité des opérations de destruction et de vol d'informations d'identification.
- les Émirats arabes unis (EAU), où Agrius a procédé à des perturbations limitées mais notables, notamment en ciblant des entreprises de logistique.
- En outre, les infrastructures de télécommunications d'Asie du Sud ont déjà été prises pour cible, ce qui laisse supposer une certaine portée opérationnelle en dehors du Moyen-Orient.
Secteurs d'activité ciblés
Agrius a un large champ d'action dans les secteurs public et privé, notamment dans les domaines suivants
- Institutions universitaires et de recherche
- Services de conseil et services professionnels
- Ingénierie, industrie et logistique
- Militaire, maritime et transport
- Services financiers et assurances
- Technologie, médias et télécommunications
- Agences gouvernementales et plateformes de médias sociaux
Leur capacité à opérer dans un si grand nombre de domaines indique un alignement stratégique sur les intérêts géopolitiques iraniens, notamment en matière d'espionnage et de perturbation.
Victimes connues
Les profils des victimes connues sont les suivants
- des institutions universitaires israéliennes, où ils ont mené des opérations en plusieurs phases impliquant la collecte d'informations d'identification et l'exfiltration d'informations personnelles.
- Une entité logistique des Émirats arabes unis touchée par un malware perturbateur.
- Un organe de presse de l'opposition iranienne basé au Royaume-Uni, ciblé dans le cadre d'une opération d'influence, démontrant l'intégration par Agrius d'opérations psychologiques et d'intrusions techniques.
La méthode d'attaque Agrius

Exploite des applications publiques vulnérables, notamment CVE-2018-13379 dans FortiOS ; utilise ProtonVPN pour l'anonymisation.

Déploie le malware IPSecHelper en tant que service pour la persistance ; utilise PetitPotato pour l'escalade locale des privilèges.

Désactive les outils de sécurité avec des outils anti-rootkit comme GMER64.sys, modifie les paramètres EDR et utilise des techniques de masquage.

Décharge la mémoire LSASS et les fichiers SAM à l'aide de Mimikatz; se livre à un forçage brutal de SMB et à une pulvérisation de mots de passe.

Analyse des hôtes et des réseaux à l'aide d'outils tels que NBTscan, SoftPerfect et WinEggDrop.

Utilise un tunnel RDP via les shells web Plink et ASPXSpy ; télécharge des charges utiles à partir de services de partage de fichiers publics.

Recueille les IIP et les données SQL à l'aide d'outils personnalisés tels que sql.net4.exe; stocke les données localement dans des répertoires cachés.

Exécute des scripts et des binaires via l'interpréteur de commandes Windows; utilise des utilitaires système renommés pour rester discret.

Archivage des données à l'aide de 7zip; exfiltration à l'aide d'outils tels que PuTTY et WinSCP par le biais de canaux HTTP cryptés AES.

Déploie le ransomware Apostle et des effaceurs de données pour perturber les opérations ; divulgue des données au public pour influencer les opérations.

Exploite des applications publiques vulnérables, notamment CVE-2018-13379 dans FortiOS ; utilise ProtonVPN pour l'anonymisation.

Déploie le malware IPSecHelper en tant que service pour la persistance ; utilise PetitPotato pour l'escalade locale des privilèges.

Désactive les outils de sécurité avec des outils anti-rootkit comme GMER64.sys, modifie les paramètres EDR et utilise des techniques de masquage.

Décharge la mémoire LSASS et les fichiers SAM à l'aide de Mimikatz; se livre à un forçage brutal de SMB et à une pulvérisation de mots de passe.

Analyse des hôtes et des réseaux à l'aide d'outils tels que NBTscan, SoftPerfect et WinEggDrop.

Utilise un tunnel RDP via les shells web Plink et ASPXSpy ; télécharge des charges utiles à partir de services de partage de fichiers publics.

Recueille les IIP et les données SQL à l'aide d'outils personnalisés tels que sql.net4.exe; stocke les données localement dans des répertoires cachés.

Exécute des scripts et des binaires via l'interpréteur de commandes Windows; utilise des utilitaires système renommés pour rester discret.

Archivage des données à l'aide de 7zip; exfiltration à l'aide d'outils tels que PuTTY et WinSCP par le biais de canaux HTTP cryptés AES.

Déploie le ransomware Apostle et des effaceurs de données pour perturber les opérations ; divulgue des données au public pour influencer les opérations.
TTP utilisées par Agrius
Comment détecter Agrius avec Vectra AI
Foire aux questions
Quelle est la motivation première d'Agrius ?
Agrius mène des opérations d'espionnage et de perturbation alignées sur les intérêts de l'État iranien, souvent masquées sous la forme d'un ransomware pour permettre un déni plausible.
Comment Agrius obtient-il un premier accès aux réseaux ?
Ils exploitent principalement des applications tournées vers le public, notamment FortiOS de Fortinet (CVE-2018-13379), et utilisent des services VPN comme ProtonVPN pour masquer leur origine.
Pour quel type de malware Agrius est-il connu ?
Agrius utilise notamment IPSecHelper, le ransomware Apostle, ASPXSpy et l'outil proxy FlowTunnel.
Ils déploient des malware sous forme de services Windows (par exemple, IPSecHelper) et utilisent des shells web pour un accès à long terme.
Quelles sont les méthodes d'exfiltration de données d'Agrius ?
Les données sont archivées à l'aide de 7zip, mises en scène localement et exfiltrées à l'aide de PuTTY ou WinSCP, souvent par le biais de canaux C2 cryptés.
Comment échappent-ils à la détection ?
En désactivant les outils EDR, en masquant les binaires et en encodant les scripts en base64, Agrius échappe aux défenses traditionnelles.
Quelle est leur méthode préférée de déplacement latéral ?
Ils utilisent des tunnels RDP via des shells web compromis et des outils tels que Plink, ainsi que l'acquisition d'informations d'identification valides.
Quelles sont les stratégies de détection efficaces contre Agrius ?
La surveillance des tunnels RDP anormaux, de l'utilisation de Plink ou de l'apparition soudaine d'outils tels que Mimikatz ou IPSecHelper peut s'avérer efficace. La détection et réponse aux incidents (NDR) et l'analyse comportementale sont essentielles.
Quels sont les secteurs les plus menacés par Agrius ?
Les organisations israéliennes dans des secteurs tels que l'université, les télécommunications et la logistique, ainsi que les entreprises de logistique et de transport basées aux Émirats arabes unis, sont les principales cibles.
La détection et réponse aux incidents (NDR) est-elle utile pour se défendre contre Agrius ?
Oui. Le NDR est particulièrement utile pour détecter le trafic C2 crypté, les mouvements latéraux anormaux et les comportements d'exfiltration de données qui contournent les contrôles des endpoint .