บริษัทขนาดใหญ่ในอุตสาหกรรมเพชร (และบริษัทใกล้เคียงบางแห่ง) ได้รับผลกระทบจากร่างข้อมูลใหม่ ซึ่งได้รับความอนุเคราะห์จากกลุ่ม Advanced Persistent Threat (APT) ซึ่งมีฐานอยู่ในอิหร่าน
นักวิจัยด้านความปลอดภัยทางไซเบอร์จากหน่วยงานด้านความปลอดภัยของ ESET ได้ค้นพบ Agrius ซึ่งเป็นภัยคุกคามที่เปิดตัวการโจมตีห่วงโซ่อุปทานกับนักพัฒนาซอฟต์แวร์ชาวอิสราเอลและผ่านการโจมตีดังกล่าว บริษัทเพชรหลายแห่งในสามทวีป
ในรายงานเชิงสืบสวน (เปิดในแท็บใหม่) ESET กล่าวว่าบริษัทของอิสราเอลถูกโจมตีโดยตัวล้างข้อมูลตัวใหม่ของ Agrios ที่เรียกว่า Fantasy ไวเปอร์นี้อิงจากเครื่องมือรุ่นก่อนหน้าของ Agrios นั่นคือ the Apostle แต่มีความแตกต่างอย่างเห็นได้ชัด
สร้างบนอัครสาวก
“Fantasy Wiper ถูกสร้างขึ้นบนพื้นฐานของ Apollo Wiper ที่รายงานไปก่อนหน้านี้ แต่ไม่ได้พยายามที่จะแอบอ้างเป็นแรนซัมแวร์ เหมือนที่ Apostle เคยทำ” บริษัท กล่าว - “แต่กลับต้องดำเนินการลบข้อมูลโดยตรงแทน มีผู้พบเห็นผู้เสียชีวิตในแอฟริกาใต้ ซึ่งการลาดตระเวนเริ่มขึ้นหลายสัปดาห์ก่อนที่แฟนตาซีจะออกฉาย ในอิสราเอลและฮ่องกง
ผู้สืบสวนสงสัยว่า Agrius พุ่งเป้าไปที่กลไกการอัปเดตซอฟต์แวร์ของบริษัทอิสราเอล ทำให้พวกเขาแพร่เชื้อไปยังเทอร์มินัล (เปิดในแท็บใหม่) ที่เป็นของลูกค้า: ตัวแทนจำหน่ายเพชรและที่ปรึกษาด้านทรัพยากรบุคคลในอิสราเอล บริษัทเพชรในแอฟริกาใต้ และร้านขายอัญมณี ในฮ่องกง
ผู้คุกคามค้นหาช่องโหว่ที่รู้จักในแอปพลิเคชันที่เข้าถึงอินเทอร์เน็ตได้ และใช้ช่องโหว่เหล่านี้เพื่อติดตั้งเว็บเชลล์ สิ่งนี้ทำให้พวกเขาสามารถรักษาการคงอยู่ของเครือข่ายเป้าหมาย ย้ายไปด้านข้าง และส่งเพย์โหลดที่เป็นอันตรายในที่สุด
“นับตั้งแต่การค้นพบในปี 2021 Agrius มุ่งเน้นไปที่ปฏิบัติการทำลายล้างเท่านั้น” นักวิจัยอธิบาย "แฟนตาซีมีความคล้ายคลึงในหลายๆ ด้านกับ Apostle ซึ่งเป็นตัวทำความสะอาดคนก่อนๆ ของ Agrius ซึ่งในตอนแรกถูกมองว่าเป็นแรนซัมแวร์ ก่อนที่จะถูกเขียนใหม่ให้เป็นแรนซัมแวร์จริง"
ในทางกลับกัน Fantasy “ไม่พยายามปลอมตัวเป็นแรนซัมแวร์ ผู้ปฏิบัติงาน Agrius ใช้เครื่องมือใหม่ Sandals เพื่อเข้าสู่ระบบจากระยะไกลและเรียกใช้ Fantasy
ผ่าน: นิตยสาร Infosecurity (เปิดในแท็บใหม่)