De wiper werd ingezet via een supply chain-aanval op de diamantindustrie door de in Iran gevestigde Agrius-groep
- Agrius voerde een supply chain-aanval uit waarbij misbruik werd gemaakt van een Israëlisch softwarepakketdie dat in de diamantindustrie wordt gebruikt.
- Agrius is een relatief nieuwe, aan Iran gelieerde APT-groep die zich uitsluitend richt op destructieve operaties.
- De groep heeft een nieuwe wiper in gebruik genomen die door ESET 'Fantasy' is genoemd. Het grootste deel van de code komt van Apostle, Agrius' vorige wiper.
- Samen met Fantasy heeft Agrius ook een nieuwe tool voor diepere verplaatsing in het netwerk en implementatie van Fantasy ingezet, die ESET ‘Sandals’ heeft genoemd.
- Tot de slachtoffers behoren Israëlische HR-bedrijven, IT-adviesbureaus en een diamantgroothandel; een Zuid-Afrikaanse organisatie die werkzaam is in de diamantindustrie; en een juwelier in Hong Kong.
Sliedrecht, 7 december 2022 – ESET-onderzoekers hebben een nieuwe wiper met bijbehorende implementatietool ontdekt. Beide worden toegeschreven aan de Agrius APT-groep, die gelieerd is aan Iran. De aanvallers voerden een supply chain-aanval uit door een Israëlische softwareontwikkelaar te misbruiken om hun nieuwe wiper, Fantasy, en een bijbehorende tool voor verplaatsing in het netwerk en de implementatie van Fantasy, genaamd ‘Sandals’, in te zetten. De misbruikte Israëlische softwarepakket wordt gebruikt in de diamantindustrie en in februari 2022 begon Agrius een Israëlisch HR-bedrijf, een diamantgroothandelaar en een IT-adviesbureau aan te vallen. Ook in Zuid-Afrika en Hong Kong bedrijven getroffen.
"De campagne duurde minder dan drie uur. Binnen dat tijdsbestek waren ESET-klanten al beschermd met detecties, die Fantasy herkenden als wiper en de uitvoer ervan blokkeerden. We zagen dat de Israëlische softwareontwikkelaar binnen enkele uren na de aanval updates uitbracht", zegt Adam Burgher, Senior Threat Intelligence Analyst bij ESET. ESET nam contact op met de softwareontwikkelaar om hen te informeren over mogelijk misbruik van hun software, maar de vragen bleven onbeantwoord.
"Op 20 februari 2022 werden bij een organisatie in de diamantindustrie in Zuid-Afrika Agriustools ingezet voor het stelen van inloggegevens, waarschijnlijk ter voorbereiding van deze campagne. Daarna, op 12 maart 2022, lanceerde Agrius de wipe-aanval door Fantasy en Sandals in te zetten. Dit deden zij eerst bij het slachtoffer in Zuid-Afrika, daarna bij slachtoffers in Israël en als laatste bij een slachtoffer in Hong Kong," stelt Burgher.
Fantasy wist ofwel alle bestanden op de schijf of wist alle bestanden met extensies op een lijst van 682 extensies, waaronder bestandsnaamextensies voor Microsoft 365-toepassingen zoals Microsoft Word, PowerPoint en Excel, en voor veelvoorkomende video-, audio- en afbeeldingsbestandsformaten. Hoewel de malware stappen onderneemt om herstel en forensische analyse te bemoeilijken, is het waarschijnlijk dat herstel van het Windows besturingssysteemmogelijk is. Slachtoffers konden namelijk binnen enkele uren weer aan de slag.
Agrius is een relatief nieuwe Iraanse groep die zich sinds 2020 richt op doelwitten in Israël en de Verenigde Arabische Emiraten. De groep zette aanvankelijk een wiper, Apostle, vermomd als ransomware in, maar veranderde Apostle later in volwaardige ransomware. Agrius maakt gebruik van bekende kwetsbaarheden in op het internet gerichte toepassingen om webshells te installeren, voert vervolgens interne verkenningen uit. De volgende stappen zijn het zich horizontaal verplaatsen in het netwerk en schadelijke payloads inzetten. Sinds zijn ontdekking in 2021 heeft Agrius zich uitsluitend gericht op operaties die schade aanrichten. Fantasy lijkt in veel opzichten op de vorige Agrius ransomware. Fantasy doet echter geen moeite om zich te vermommen als ransomware. Er zijn slechts een paar kleine aanpassingen tussen veel van de oorspronkelijke functies in Apostle en de implementatie van Fantasy.
Voor meer technische informatie over Agrius's Fantasy wiper, lees de blogpost " Fantasy - een nieuwe Agrius wiper ingezet via een supply-chain aanval " op WeLiveSecurity. Volg ESET Research op Twitter voor het laatste nieuws.
Tijdlijn en locaties van de slachtoffers
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.