アグリウス
Agriusはイラン国家と連携したAPTグループで、主にイスラエルや中東のエンティティを標的とし、SPECTRAL KITTENやBlack Shadowなどのさまざまな別名で、破壊的なランサムウェアやワイパー攻撃を行うことで知られています。
アグリウスの由来
Agriusは、少なくとも2020年以降活動しているイランの国家支援による高度持続的脅威(APT)グループで、イランの情報セキュリティ省(MOIS)と密接に連携しています。SPECTRAL KITTEN、Black Shadow、Pink Sandstormなどの別名でも追跡されているAgriusは、ランサムウェアとワイパー型malwareハイブリッドに使用した破壊的な作戦、特にイスラエルのエンティティに対する作戦で知られています。彼らのキャンペーンは、政治的な動機に基づく攻撃を金銭的な動機に基づくランサムウェアインシデントとして偽装することが多く、盗まれたデータが流出し、その後eCrimeチャネルを通じて流出する「ロック・アンド・リーク」と呼ばれる手口です。
このグループは、IPSecHelper、Apostleランサムウェア、FlowTunnelプロキシツールなどの malware多用しています。最近の情報では、Agriusのオペレーターは、MOISのフロント企業として疑われているJahat Pardazと関連しており、インパクトの大きいサイバー作戦における彼らの能力を強調しています。
対象国
主な対象地域は以下の通り:
- イスラエルは、破壊活動や信用情報窃盗の大部分が集中している場所である。
- アラブ首長国連邦(UAE)では、アグリウスが物流会社を標的にするなど、限定的ではあるが目立った妨害行為を行っている。
- さらに、南アジアの通信インフラを標的にした歴史もあり、中東以外での活動も示唆されている。
対象産業
アグリウスは、官民を問わず、特に以下のような幅広いターゲットを対象としている:
- 学術・研究機関
- コンサルティングおよびプロフェッショナル・サービス
- エンジニアリング、工業、物流
- 軍事、海事、運輸
- 金融サービスと保険
- テクノロジー、メディア、テレコミュニケーション
- 政府機関とソーシャルメディア・プラットフォーム
多くの分野で活動する彼らの能力は、イランの地政学的利益と戦略的に一致していることを示している。
既知の犠牲者
知られている被害者のプロフィールは以下の通り:
- イスラエルの学術機関では、クレデンシャル・ハーベスティングと個人情報流出を含む多段階の作戦を実施した。
- 破壊的なmalware影響を受けたアラブ首長国連邦の物流企業。
- イラン反体制派の英国を拠点とする報道機関が、影響力作戦の標的とされ、アグリウスが技術的侵入とともに心理作戦を統合していることが示された。
アグリウスの攻撃方法
FortiOSのCVE-2018-13379を筆頭に、脆弱な公開アプリを悪用。匿名化にはProtonVPNを使用。
IPSecHelper malware 永続化のためにサービスとして展開し、ローカル権限の昇格のためにPetitPotatoを使用する。
GMER64.sysのようなアンチルートキットツールでセキュリティツールを無効にし、EDR設定を変更し、マスカレード技術を使用する。
Mimikatzで LSASSメモリと SAMファイルをダンプし、SMBブルートフォースと パスワードスプレーを行う。
NBTscan、SoftPerfect、WinEggDropなどのツールでホストとネットワークのスキャンを実行します。
PlinkおよびASPXSpyウェブシェル経由でRDPトンネリングを使用し、公開ファイル共有サービスからペイロードをダウンロードする。
sql.net4.exeのようなカスタムツールを使ってPIIとSQLデータを収集し、データを隠しディレクトリにローカルに保存する。
Windowsコマンドシェル経由でスクリプトとバイナリを実行する。
7zipを使ってデータをアーカイブし、PuTTYや WinSCPのようなツールを使ってAES暗号化されたHTTPチャネルから流出する。
アポストル・ランサムウェアや データ・ワイパーを展開し、業務を妨害。
FortiOSのCVE-2018-13379を筆頭に、脆弱な公開アプリを悪用。匿名化にはProtonVPNを使用。
IPSecHelper malware 永続化のためにサービスとして展開し、ローカル権限の昇格のためにPetitPotatoを使用する。
GMER64.sysのようなアンチルートキットツールでセキュリティツールを無効にし、EDR設定を変更し、マスカレード技術を使用する。
Mimikatzで LSASSメモリと SAMファイルをダンプし、SMBブルートフォースと パスワードスプレーを行う。
NBTscan、SoftPerfect、WinEggDropなどのツールでホストとネットワークのスキャンを実行します。
PlinkおよびASPXSpyウェブシェル経由でRDPトンネリングを使用し、公開ファイル共有サービスからペイロードをダウンロードする。
sql.net4.exeのようなカスタムツールを使ってPIIとSQLデータを収集し、データを隠しディレクトリにローカルに保存する。
Windowsコマンドシェル経由でスクリプトとバイナリを実行する。
7zipを使ってデータをアーカイブし、PuTTYや WinSCPのようなツールを使ってAES暗号化されたHTTPチャネルから流出する。
アポストル・ランサムウェアや データ・ワイパーを展開し、業務を妨害。
アグリウスのTTP
Vectra AIでアグリウスを検知 方法
よくあるご質問(FAQ)
アグリウスの一番の動機は何ですか?
Agriusは、イランの国益に沿ったスパイ活動や破壊工作を行っており、多くの場合、もっともらしい否認のためにランサムウェアの仮面をかぶっている。
Agriusはどのようにしてネットワークにアクセスするのですか?
彼らは主に公衆向けのアプリケーション、特にフォーティネットのFortiOS(CVE-2018-13379)を悪用し、ProtonVPNのようなVPNサービスを使用して出所を隠します。
Agriusはどのようなmalware 知られていますか?
AgriusはIPSecHelper、Apostleランサムウェア、ASPXSpy、FlowTunnelプロキシツールなどを使用している。
彼らはmalware Windowsサービス(IPSecHelperなど)として展開し、長期的なアクセスにはWebシェルを使用する。
アグリウスのデータ流出方法とは?
データは7zipを使ってアーカイブされ、ローカルにステージングされ、PuTTYや WinSCPを使って、多くの場合暗号化されたC2チャンネル経由で流出する。
どうやって発見を逃れるのか?
EDRツール、マスカレード・バイナリ、base64エンコーディング・スクリプトを無効にすることで、Agriusは従来の防御を回避する。
彼らが好む横移動の方法とは?
彼らは有効な認証情報を取得するだけでなく、侵害されたウェブシェルやPlinkのようなツールを介してRDPトンネリングを使用する。
アグリウスにはどのような検知戦略が有効か?
RDPトンネリングの異常、Plinkの使用、Mimikatzや IPSecHelperのようなツールの突然の出現を監視することが効果的です。ネットワークの検出と応答(NDR)と振る舞い 分析が鍵となる。
アグリウスのリスクが最も高い産業は?
イスラエルの 学術、通信、ロジスティクスといった分野の組織や、UAEを拠点とするロジスティクスや輸送会社が主なターゲットである。
アグリウスに対する防御にNDR(Network Detection and Response)は有効か?
そうだ。NDRは、暗号化されたC2トラフィック、異常な横方向の動き、エンドポイント制御をバイパスするデータ流出行動を検出する上で特に有用です。