Principali attori dell'industria dei diamanti interessati dall'Iran APT

Principali attori dell'industria dei diamanti interessati dall'Iran APT

Le grandi aziende dell'industria dei diamanti (e alcune società adiacenti) sono state colpite da una nuova bozza di dati, per gentile concessione di un noto gruppo APT (Advanced Persistent Threat) con sede in Iran.

I ricercatori di sicurezza informatica del braccio welivesecurity di ESET hanno recentemente scoperto Agrius, un attore di minacce che ha lanciato un attacco alla catena di approvvigionamento contro uno sviluppatore di software israeliano e, attraverso di esso, diverse società di diamanti in tre continenti.

In un rapporto investigativo (si apre in una nuova scheda), ESET ha affermato che la società israeliana è stata attaccata dal nuovo pulitore di dati di Agrios, chiamato Fantasy. Questo tergicristallo è basato sullo strumento precedente di Agrios, l'Apostolo, ma con notevoli differenze.

Costruire sull'Apostolo

"Fantasy Wiper è costruito sulla base del precedente Apollo Wiper, ma non tenta di imitare il ransomware, come faceva originariamente Pope," ha affermato la società. . “Invece, si mette al lavoro eliminando direttamente i dati. Si sono registrate vittime in Sud Africa, dove la ricognizione è iniziata diverse settimane prima dell'uscita di Fantasy, in Israele e a Hong Kong.

Gli investigatori sospettano che Agrius abbia preso di mira i meccanismi di aggiornamento del software dell'azienda israeliana, consentendo loro di infettare i terminali (si apre in una nuova scheda) appartenenti ai loro clienti: un commerciante di diamanti e una società di consulenza per le risorse umane in Israele, un'azienda di diamanti in Sud Africa e un gioielliere. Ad Hong Kong.

L'autore della minaccia ha cercato vulnerabilità note nelle applicazioni accessibili da Internet e le ha utilizzate per implementare web shell. Ciò ha consentito loro di mantenere la persistenza sulle reti di destinazione, spostarsi lateralmente e infine consegnare il payload dannoso.

“Dalla sua scoperta nel 2021, Agrius si è concentrato solo su operazioni distruttive”, hanno spiegato i ricercatori. "Fantasy è simile in molti modi al precedente pulitore di Agrius, Apostolo, che inizialmente era stato presentato come ransomware prima di essere riscritto per diventare un vero e proprio ransomware."

La fantasia, d'altra parte, “non fa alcuno sforzo per camuffarsi da ransomware. Gli operatori di Agrius hanno utilizzato un nuovo strumento, Sandals, per accedere in remoto ai sistemi ed eseguire Fantasy.

Via: Infosecurity Magazine (si apre in una nuova scheda)