Σύμφωνα με τις δημόσιες αναφορές, ο Agrius είναι APT actor με δραστηριότητα που αποδίδεται στη χώρα: Ιράν. Στο MITRE ATT&CK αντιστοιχίζεται στην ομάδα G1030. Κίνητρο: δολιοφθορά, κατασκοπεία, και διαταραχή λειτουργίας. Κύριοι κλάδοι στόχευσης: πολλαπλούς τομείς. Στις δημόσιες πηγές αναφέρεται επίσης ως Pink Sandstorm, AMERICIUM, Agonizing Serpens, BlackShadow. Επίπεδο πολυπλοκότητας: κρατικά υποστηριζόμενο. Σχετίζεται με 12 γνωστά CVEs (εκ των οποίων 4 κρίσιμα).

Τεχνική συμπεριφορά και TTPs

Με βάση τη δημόσια καταγραφή στο MITRE ATT&CK (G1030), στις κυριότερες τεχνικές του Agrius περιλαμβάνονται:

  • T1583 – Acquire Infrastructure
  • T1560 – συμπίεση/κρυπτογράφηση δεδομένων πριν την exfiltration
  • T1119 – Automated Collection
  • T1110 – brute-force και password spraying
  • T1059 – εκτέλεση εντολών και scripts (PowerShell, cmd, bash)
  • T1543 – Create or Modify System Process: Windows Service
  • T1005 – εξαγωγή δεδομένων από local file system
  • T1074 – Data Staged: Local Data Staging

Συνδεδεμένα εργαλεία και malware

  • Apostle (S1133)
  • ASPXSpy (S0073)
  • BFG Agonizer (S1136)
  • DEADWOOD (S1134)
  • IPsec Helper (S1132)
  • Mimikatz (S0002)
  • NBTscan
  • Moneybird

Γιατί αφορά ελληνικούς και ευρωπαϊκούς οργανισμούς

Σε οργανισμούς με υποχρεώσεις NIS2, DORA και GDPR, η ύπαρξη ενός actor όπως ο Agrius καθιστά αναγκαία τη συγκεκριμένη χαρτογράφηση αμυντικών ελέγχων σε ATT&CK techniques. Η ελληνική αγορά —ιδίως τράπεζες, ενέργεια, ναυτιλία, τηλεπικοινωνίες και κρίσιμες υποδομές— παραμένει στόχος ευρύτερων εκστρατειών που τέμνουν πολλαπλούς τομείς. Η αλυσίδα εφοδιασμού (supply chain) αυξάνει την έκθεση ακόμα και όταν η οργάνωση δεν είναι στον αρχικό κύκλο στόχευσης του actor.

Από το προφίλ στην πράξη

Τα στοιχεία για κάθε adversary group συγκεντρώνονται από εκατοντάδες πηγές threat intelligence και περνούν από διασταύρωση και επιβεβαίωση πριν καταγραφούν ώστε κάθε τεχνική, εργαλείο και δείκτης που αποδίδεται στον actor να αντικατοπτρίζει επιβεβαιωμένη συμπεριφορά και όχι μεμονωμένες ή ανεπιβεβαίωτες αναφορές.

Διατηρούμε αυτά τα επιβεβαιωμένα προφίλ APT και τα αξιοποιούμε για να σχεδιάζουμε και να εκτελούμε adversary simulations με ακρίβεια στα συστήματα των πελατών μας. Αν διαθέτετε SOC, SIEM ή EDR, ο μόνος τρόπος να επαληθεύσετε αν η άμυνά σας δουλεύει είναι να τη δοκιμάσετε: το προφίλ μετατρέπεται σε ελεγχόμενα σενάρια επίθεσης, προσαρμοσμένα στην υποδομή σας, ώστε να δείτε στην πράξη τι ανιχνεύεται και τι περνά απαρατήρητο.

Δείτε την βιβλιοθήκη με όλους τους threat actors που έχουμε συγκεντρώσει