Le grandi aziende dell'industria dei diamanti (e alcune società adiacenti) sono state colpite da una nuova bozza di dati, per gentile concessione di un noto gruppo APT (Advanced Persistent Threat) con sede in Iran.
I ricercatori di sicurezza informatica del braccio welivesecurity di ESET hanno recentemente scoperto Agrius, un attore di minacce che ha lanciato un attacco alla catena di approvvigionamento contro uno sviluppatore di software israeliano e, attraverso di esso, diverse società di diamanti in tre continenti.
In un rapporto investigativo (si apre in una nuova scheda), ESET ha affermato che la società israeliana è stata attaccata dal nuovo pulitore di dati di Agrios, chiamato Fantasy. Questo tergicristallo è basato sullo strumento precedente di Agrios, l'Apostolo, ma con notevoli differenze.
Costruire sull'Apostolo
"Fantasy Wiper è basato sul precedente Apollo Wiper, ma non tenta di impersonare il ransomware, come inizialmente faceva Apostle", ha affermato la società. . “Invece, funziona cancellando direttamente i dati. Vittime sono state osservate in Sud Africa, dove la ricognizione è iniziata diverse settimane prima del rilascio di Fantasy, in Israele e Hong Kong.
Gli investigatori sospettano che Agrius abbia preso di mira i meccanismi di aggiornamento del software dell'azienda israeliana, consentendo loro di infettare i terminali (si apre in una nuova scheda) appartenenti ai loro clienti: un commerciante di diamanti e una società di consulenza per le risorse umane in Israele, un'azienda di diamanti in Sud Africa e un gioielliere. Ad Hong Kong.
L'autore della minaccia ha cercato vulnerabilità note nelle applicazioni accessibili da Internet e le ha utilizzate per implementare web shell. Ciò ha consentito loro di mantenere la persistenza sulle reti di destinazione, spostarsi lateralmente e infine consegnare il payload dannoso.
"Dalla sua scoperta nel 2021, Agrius si è concentrato solo su operazioni distruttive", hanno spiegato i ricercatori. "Fantasy è simile per molti versi al precedente pulitore di Agrius, Apostle, che inizialmente si spacciava per ransomware prima di essere riscritto per diventare un vero ransomware."
La fantasia, d'altra parte, “non fa alcuno sforzo per camuffarsi da ransomware. Gli operatori di Agrius hanno utilizzato un nuovo strumento, Sandals, per accedere in remoto ai sistemi ed eseguire Fantasy.
Via: Infosecurity Magazine (si apre in una nuova scheda)
