Agrius

Agrius est un groupe APT lié à l'État iranien connu pour ses ransomwares perturbateurs et ses attaques par wiper, ciblant principalement des entités israéliennes et du Moyen-Orient sous divers pseudonymes, dont SPECTRAL KITTEN et Black Shadow.

Votre organisation est-elle à l'abri des attaques d'Agrius ?

L'origine d'Agrius

Agrius est un groupe de menaces persistantes avancées (APT) parrainé par l'État iranien, actif depuis au moins 2020 et étroitement lié au ministère iranien du Renseignement et de la Sécurité (MOIS). Également repéré sous des pseudonymes tels que SPECTRAL KITTEN, Black Shadow et Pink Sandstorm, Agrius est connu pour son utilisation hybride de ransomware et de wiper malware dans des opérations destructrices, en particulier contre des entités israéliennes. Ses campagnes déguisent souvent des attaques à motivation politique en incidents de ransomware à motivation financière, une tactique appelée "lock-and-leak" où les données volées sont exfiltrées puis divulguées via les canaux de la cybercriminalité.

Le groupe fait un usage intensif de malware personnalisés, tels que IPSecHelper, le ransomware Apostle et les outils de proxy FlowTunnel. Des renseignements récents établissent un lien entre les opérateurs d'Agrius et Jahat Pardaz, une société de façade soupçonnée d'appartenir au ministère de l'intérieur, et mettent en évidence leur capacité à mener des cyberopérations à fort impact.

Pays ciblés

Les principales cibles géographiques sont les suivantes

  • Israël, où se concentre la majorité des opérations de destruction et de vol d'informations d'identification.
  • les Émirats arabes unis (EAU), où Agrius a procédé à des perturbations limitées mais notables, notamment en ciblant des entreprises de logistique.
  • En outre, les infrastructures de télécommunications d'Asie du Sud ont déjà été prises pour cible, ce qui laisse supposer une certaine portée opérationnelle en dehors du Moyen-Orient.

Secteurs d'activité ciblés

Agrius a un large champ d'action dans les secteurs public et privé, notamment dans les domaines suivants

  • Institutions universitaires et de recherche
  • Services de conseil et services professionnels
  • Ingénierie, industrie et logistique
  • Militaire, maritime et transport
  • Services financiers et assurances
  • Technologie, médias et télécommunications
  • Agences gouvernementales et plateformes de médias sociaux

Leur capacité à opérer dans un si grand nombre de domaines indique un alignement stratégique sur les intérêts géopolitiques iraniens, notamment en matière d'espionnage et de perturbation.

Victimes connues

Les profils des victimes connues sont les suivants

  • des institutions universitaires israéliennes, où ils ont mené des opérations en plusieurs phases impliquant la collecte d'informations d'identification et l'exfiltration d'informations personnelles.
  • Une entité logistique des Émirats arabes unis touchée par un malware perturbateur.
  • Un organe de presse de l'opposition iranienne basé au Royaume-Uni, ciblé dans le cadre d'une opération d'influence, démontrant l'intégration par Agrius d'opérations psychologiques et d'intrusions techniques.
Méthode d'attaque

La méthode d'attaque Agrius

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Exploite des applications publiques vulnérables, notamment CVE-2018-13379 dans FortiOS ; utilise ProtonVPN pour l'anonymisation.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Déploie le malware IPSecHelper en tant que service pour la persistance ; utilise PetitPotato pour l'escalade locale des privilèges.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Désactive les outils de sécurité avec des outils anti-rootkit comme GMER64.sys, modifie les paramètres EDR et utilise des techniques de masquage.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Décharge la mémoire LSASS et les fichiers SAM à l'aide de Mimikatz; se livre à un forçage brutal de SMB et à une pulvérisation de mots de passe.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Analyse des hôtes et des réseaux à l'aide d'outils tels que NBTscan, SoftPerfect et WinEggDrop.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Utilise un tunnel RDP via les shells web Plink et ASPXSpy ; télécharge des charges utiles à partir de services de partage de fichiers publics.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Recueille les IIP et les données SQL à l'aide d'outils personnalisés tels que sql.net4.exe; stocke les données localement dans des répertoires cachés.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Exécute des scripts et des binaires via l'interpréteur de commandes Windows; utilise des utilitaires système renommés pour rester discret.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Archivage des données à l'aide de 7zip; exfiltration à l'aide d'outils tels que PuTTY et WinSCP par le biais de canaux HTTP cryptés AES.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Déploie le ransomware Apostle et des effaceurs de données pour perturber les opérations ; divulgue des données au public pour influencer les opérations.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Exploite des applications publiques vulnérables, notamment CVE-2018-13379 dans FortiOS ; utilise ProtonVPN pour l'anonymisation.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Déploie le malware IPSecHelper en tant que service pour la persistance ; utilise PetitPotato pour l'escalade locale des privilèges.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Désactive les outils de sécurité avec des outils anti-rootkit comme GMER64.sys, modifie les paramètres EDR et utilise des techniques de masquage.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Décharge la mémoire LSASS et les fichiers SAM à l'aide de Mimikatz; se livre à un forçage brutal de SMB et à une pulvérisation de mots de passe.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Analyse des hôtes et des réseaux à l'aide d'outils tels que NBTscan, SoftPerfect et WinEggDrop.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Utilise un tunnel RDP via les shells web Plink et ASPXSpy ; télécharge des charges utiles à partir de services de partage de fichiers publics.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Recueille les IIP et les données SQL à l'aide d'outils personnalisés tels que sql.net4.exe; stocke les données localement dans des répertoires cachés.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Exécute des scripts et des binaires via l'interpréteur de commandes Windows; utilise des utilitaires système renommés pour rester discret.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Archivage des données à l'aide de 7zip; exfiltration à l'aide d'outils tels que PuTTY et WinSCP par le biais de canaux HTTP cryptés AES.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Déploie le ransomware Apostle et des effaceurs de données pour perturber les opérations ; divulgue des données au public pour influencer les opérations.

MITRE ATT&CK Mapping

TTP utilisées par Agrius

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1505
Server Software Component
T1078
Valid Accounts
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1078
Valid Accounts
TA0005: Defense Evasion
T1140
Deobfuscate/Decode Files or Information
T1036
Masquerading
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1046
Network Service Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1119
Automated Collection
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
No items found.

Foire aux questions

Quelle est la motivation première d'Agrius ?

Comment Agrius obtient-il un premier accès aux réseaux ?

Pour quel type de malware Agrius est-il connu ?

Quelles sont les méthodes d'exfiltration de données d'Agrius ?

Comment échappent-ils à la détection ?

Quelle est leur méthode préférée de déplacement latéral ?

Quelles sont les stratégies de détection efficaces contre Agrius ?

Quels sont les secteurs les plus menacés par Agrius ?

La détection et réponse aux incidents (NDR) est-elle utile pour se défendre contre Agrius ?