Крупнейшие компании алмазной отрасли (и некоторые смежные компании) пострадали от нового проекта данных, любезно предоставленного известной группой продвинутых постоянных угроз (APT), базирующейся в Иране.
Исследователи кибербезопасности из подразделения weivesecurity компании ESET недавно обнаружили Агриуса, злоумышленника, который начал атаку на цепочку поставок израильского разработчика программного обеспечения и, через него, нескольких алмазных компаний на трех континентах.
В отчете о расследовании (откроется в новой вкладке) ESET сообщила, что израильская компания подверглась атаке с помощью нового очистителя данных Agrios под названием Fantasy. Этот очиститель основан на предыдущем инструменте Агриоса, Апостоле, но с заметными отличиями.
Опираясь на Апостола
«Fantasy Wiper построен на основе ранее анонсированного Apollo Wiper, но не пытается выдавать себя за программу-вымогатель, как это первоначально делал Apostle», — заявили в компании. . «Вместо этого он начинает работать, непосредственно удаляя данные. Пострадавшие были замечены в Южной Африке, где разведка началась за несколько недель до выхода Fantasy, в Израиле и Гонконге.
Исследователи подозревают, что Агриус нацелился на механизмы обновления программного обеспечения израильской компании, позволив им заразить терминалы (открывается в новой вкладке), принадлежащие ее клиентам: алмазному трейдеру и консультанту по кадрам в Израиле, алмазной компании в Южной Африке и ювелиру. В Гонконге.
Злоумышленник искал известные уязвимости в интернет-приложениях и использовал их для развертывания веб-шеллов. Это позволило им сохранять постоянство в целевых сетях, перемещаться в горизонтальном направлении и в конечном итоге доставлять вредоносную полезную нагрузку.
«С момента своего открытия в 2021 году Агриус сосредоточился только на разрушительных операциях», — объяснили исследователи. «Fantasy во многом похожа на предыдущий очиститель Агриуса, Apostle, который изначально представлялся как программа-вымогатель, а затем был переписан и превратился в настоящую программу-вымогатель».
С другой стороны, Fantasy «не пытается замаскироваться под программу-вымогатель. Операторы Агриуса использовали новый инструмент Sandals для удаленного входа в систему и запуска Fantasy.
Через: Журнал Infosecurity (откроется в новой вкладке)