Las grandes empresas de la industria del diamante (y algunas empresas adyacentes) se han visto afectadas por un nuevo borrador de datos, cortesía de un conocido grupo de amenazas persistentes avanzadas (APT) con sede en Irán.
Los investigadores de ciberseguridad del brazo welivesecurity de ESET descubrieron recientemente a Agrius, un actor de amenazas que lanzó un ataque a la cadena de suministro contra un desarrollador de software israelí y, a través de él, varias empresas de diamantes en tres continentes.
En un informe de investigación (se abre en una nueva pestaña), ESET dijo que la empresa israelí fue atacada por el nuevo limpiador de datos de Agrios, llamado Fantasy. Este limpiaparabrisas se basa en la herramienta anterior de Agrios, el Apóstol, pero con diferencias notables.
Construyendo sobre el Apóstol
«Fantasy Wiper está construido sobre la base del Apollo Wiper informado anteriormente, pero no intenta hacerse pasar por ransomware, como lo hizo Apostle originalmente», dijo la compañía. . “En cambio, se pone a trabajar directamente borrando los datos. Se han visto bajas en Sudáfrica, donde el reconocimiento comenzó varias semanas antes del lanzamiento de Fantasy, en Israel y Hong Kong.
Los investigadores sospechan que Agrius apuntó a los mecanismos de actualización de software de la empresa israelí, lo que les permitió infectar terminales (opens in a new tab) pertenecientes a sus clientes: un comerciante de diamantes y una consultora de recursos humanos en Israel, una empresa de diamantes en Sudáfrica y una joyero. En Hong Kong.
El actor de amenazas buscó vulnerabilidades conocidas en aplicaciones accesibles por Internet y las utilizó para implementar web shells. Esto les permitió mantener la persistencia en las redes de destino, moverse lateralmente y, en última instancia, entregar la carga útil maliciosa.
“Desde su descubrimiento en 2021, Agrius solo se ha centrado en operaciones destructivas”, explicaron los investigadores. «Fantasy es similar en muchos aspectos al limpiador anterior de Agrius, Apostle, que inicialmente se hizo pasar por un ransomware antes de ser reescrito para convertirse en un ransomware real».
Fantasy, por otro lado, “no hace ningún esfuerzo por disfrazarse de ransomware. Los operadores de Agrius utilizaron una nueva herramienta, Sandals, para iniciar sesión de forma remota en los sistemas y ejecutar Fantasy.
ผ่าน: นิตยสาร Infosecurity (เปิดในแท็บใหม่)
