Duże firmy z branży diamentowej (i niektóre sąsiednie firmy) zostały dotknięte nowym projektem danych, dzięki uprzejmości dobrze znanej grupy zaawansowanego trwałego zagrożenia (APT) z siedzibą w Iranie.
Analitycy cyberbezpieczeństwa z działu welivesecurity firmy ESET niedawno wykryli Agriusa, cyberprzestępcę, który przeprowadził atak w łańcuchu dostaw na izraelskiego programistę, a za jego pośrednictwem kilka firm diamentowych na trzech kontynentach.
W raporcie śledczym (otwiera się w nowej karcie) ESET powiedział, że izraelska firma została zaatakowana przez nowy program do czyszczenia danych Agrios o nazwie Fantasy. Ta wycieraczka jest oparta na poprzednim narzędziu Agrios, Apostołu, ale z zauważalnymi różnicami.
Opierając się na Apostole
„Fantasy Wiper jest oparty na wcześniej zgłoszonym Apollo Wiper, ale nie próbuje podszywać się pod oprogramowanie ransomware, jak pierwotnie zrobił to Apostle” – powiedziała firma. . „Zamiast tego zaczyna bezpośrednio usuwać dane. Straty odnotowano w Afryce Południowej, gdzie rekonesans rozpoczął się kilka tygodni przed wydaniem Fantasy, w Izraelu i Hongkongu.
Śledczy podejrzewają, że Agrius obrał sobie za cel mechanizmy aktualizacji oprogramowania izraelskiej firmy, umożliwiając im infekowanie terminali (otwiera się w nowej karcie) należących do ich klientów: handlarza diamentami i firmy doradztwa personalnego w Izraelu, firmy diamentowej w RPA oraz jubilera. W Hong Kongu.
Aktor cyberprzestępczy szukał znanych luk w aplikacjach dostępnych przez Internet i wykorzystywał je do implementowania powłok sieciowych. Pozwoliło im to utrzymać uporczywość w sieciach docelowych, przemieszczać się poprzecznie i ostatecznie dostarczyć szkodliwy ładunek.
„Od czasu odkrycia w 2021 r. Agrius skupiał się wyłącznie na operacjach destrukcyjnych” – wyjaśniają naukowcy. „Fantasy jest pod wieloma względami podobne do poprzedniego programu czyszczącego Agrius, Apostle, który początkowo udawał oprogramowanie ransomware, zanim został przepisany, by stać się prawdziwym oprogramowaniem ransomware”.
Z drugiej strony Fantasy „nie stara się ukryć jako oprogramowanie ransomware. Operatorzy Agrius użyli nowego narzędzia, Sandals, do zdalnego logowania się do systemów i uruchamiania Fantasy.
Przez: Magazyn Infosecurity (otwiera się w nowej zakładce)