Основные игроки алмазной отрасли пострадали от иранской APT

Основные игроки алмазной отрасли пострадали от иранской APT

Крупнейшие компании алмазной отрасли (и некоторые смежные компании) пострадали от нового проекта данных, любезно предоставленного известной группой продвинутых постоянных угроз (APT), базирующейся в Иране.

Исследователи кибербезопасности из подразделения weivesecurity компании ESET недавно обнаружили Агриуса, злоумышленника, который начал атаку на цепочку поставок израильского разработчика программного обеспечения и, через него, нескольких алмазных компаний на трех континентах.

В отчете о расследовании (откроется в новой вкладке) ESET сообщила, что израильская компания подверглась атаке с помощью нового очистителя данных Agrios под названием Fantasy. Этот очиститель основан на предыдущем инструменте Агриоса, Апостоле, но с заметными отличиями.

Опираясь на Апостола

«Fantasy Wiper построен на основе ранее анонсированного Apollo Wiper, но не пытается выдавать себя за программу-вымогатель, как это первоначально делал Apostle», — заявили в компании. . «Вместо этого он начинает работать, непосредственно удаляя данные. Пострадавшие были замечены в Южной Африке, где разведка началась за несколько недель до выхода Fantasy, в Израиле и Гонконге.

Исследователи подозревают, что Агриус нацелился на механизмы обновления программного обеспечения израильской компании, позволив им заразить терминалы (открывается в новой вкладке), принадлежащие ее клиентам: алмазному трейдеру и консультанту по кадрам в Израиле, алмазной компании в Южной Африке и ювелиру. В Гонконге.

Злоумышленник искал известные уязвимости в интернет-приложениях и использовал их для развертывания веб-шеллов. Это позволило им сохранять постоянство в целевых сетях, перемещаться в горизонтальном направлении и в конечном итоге доставлять вредоносную полезную нагрузку.

«С момента своего открытия в 2021 году Агриус сосредоточился только на разрушительных операциях», — объяснили исследователи. «Fantasy во многом похожа на предыдущий очиститель Агриуса, Apostle, который изначально представлялся как программа-вымогатель, а затем был переписан и превратился в настоящую программу-вымогатель».

С другой стороны, Fantasy «не пытается замаскироваться под программу-вымогатель. Операторы Агриуса использовали новый инструмент Sandals для удаленного входа в систему и запуска Fantasy.

Через: Журнал Infosecurity (откроется в новой вкладке)