· Agrius voerde een aanval uit op de supply-chain waarbij een Israëlische
softwaresuite, gebruikt in de diamantsector
misbruikt werd.
· Agrius is een nieuwe, aan Iran gelinkte APT-groep, die zich uitsluitend
richt op destructieve acties.
· De groep heeft dan een nieuwe wiper ingezet, die ESET Fantasy noemde.
Het grootste deel van zijn codebasis is afkomstig van Apostle, de vorige wiper
van Agrius.
· Naast Fantasy gebruikte Agrius ook een nieuwe tool voor zijwaartse
beweging en Fantasy-uitvoering, door ESET Sandals genoemd.
· Slachtoffers zijn Israëlische HR-bedrijven, IT-consultancies-bedrijven
en een diamantgroothandel; een Zuid-Afrikaans bedrijf in de diamantsector en
een juwelier in Hong Kong.
BRATISLAVA, MONTREAL, 8 december 2022 — Onderzoekers van ESET ontdekten een nieuwe wiper en zijn uitvoeringstool, beide toegeschreven aan de aan Iran gelinkte Agrius APT-groep. De malware-operatoren voerden een supply-chain-aanval uit waarbij ze een Israëlische softwareontwikkelaar misbruikten om Fantasy, hun nieuwe wiper, en Sandals, een nieuwe laterale beweging en Fantasy-uitvoeringstool, in te zetten. De misbruikte Israëlische softwaresuite wordt in de diamantsector gebruikt. In februari 2022 begon Agrius zich te richten op een Israëlisch HR-bedrijf, een diamantgroothand en een IT-consultancy. De groep staat bekend om zijn destructieve activiteiten. In Zuid-Afrika en Hong Kong zijn eveneens slachtoffers gevonden.
“De campagne duurde minder dan drie uur en in die tijdspanne waren ESET-klanten al beschermd dankzij detecties die Fantasy identificeerden als een wiper en de uitvoering ervan blokkeerden. We zagen hoe de softwareontwikkelaar enkele uren na de aanval al schone updates uitbracht”, zegt Adam Burgher, ESET Senior Threat Intelligence Analyst. ESET contacteerde de softwareontwikkelaar om die op de hoogte te brengen van een mogelijk compromis, maar dit contact bleef onbeantwoord.
“Op 20 februari 2022 heeft Agrius in een bedrijf uit de diamantsector in Zuid-Afrika tools voor het verzamelen van referenties ingezet, wellicht om deze campagne voor te bereiden. Op 12 maart 2022, lanceerde Agrius de wiperaanval door Fantasy en Sandals in te zetten, eerst bij het slachtoffer in Zuid-Afrika, vervolgens in Israël en ten slotte in Hong Kong”, legt Burgher uit.
Fantasy wist alle bestanden op schijf of met extensies in een lijst met 682 extensies, inclusief bestandsnaamextensies voor Microsoft 365-toepassingen zoals Word, PowerPoint en Excel, alsook video-, audio- en afbeeldingbestanden van standaard formaat. Hoewel de malware stappen onderneemt om herstel en forensische analyse moeilijker te maken, is herstel van het Windows-besturingssysteem waarschijnlijk mogelijk. Slachtoffers bleken binnen enkele uren weer operationeel te zijn.
Agrius is een nieuwere, aan Iran gelinkte groep die zich sinds 2020 richt op slachtoffers in Israël en de Verenigde Arabische Emiraten. De groep zette aanvankelijk Apostle in, een wiper vermomd als ransomware, maar veranderde later Apostle in volwaardige ransomware. Agrius misbruikt bekende kwetsbaarheden in internet apps om webshells te installeren, voert dan interne verkenningen uit voor het lateraal gaat bewegen en vervolgens zijn kwaadaardige payloads inzet.
Sinds zijn ontdekking, in 2021, voert Agrius uitsluitend destructieve operaties uit. Fantasy is in veel opzichten vergelijkbaar met Apostle, de vorige Agrius-wiper. Fantasy doet echter geen moeite om zich als ransomware te vermommen. Er zijn slechts een paar kleine aanpassingen tussen veel van de originele functies in Apostle en de Fantasy-implementatie.
Voor meer technische info’s over Fantasy, de wiper van Agrius, lees de blog
“
Over ESET
Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en
-diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te
beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint-
en mobiele beveiliging tot detectie en respons van endpoints, encryptie en
multi-factor authenticatie, beschermen en bewaken ESET's krachtige,
gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de
verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen.
De constant veranderende bedreigingen
vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan
gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de
hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te
ondersteunen.
Voor meer informatie bezoek www.eset.com of volg het nieuws op LinkedIn, Facebook, en Twitter.
Om meer te vernemen over de ESET-oplossingen,
bezoek https://www.est.com/be-nl/
|
ESET BeLux - MGK Technologies Maxime Mutelet |
Key Communications |
Wil je
geen berichten van ESET ontvangen, laat het dan weten aan catherine@keycommunications.be