Elmas endüstrisindeki büyük şirketler (ve birkaç bitişik şirket), İran merkezli bilinen bir gelişmiş kalıcı tehdit (APT) grubunun izniyle yepyeni bir veri silecek tarafından vuruldu.
ESET’in welivesecurity kolundan siber güvenlik araştırmacıları kısa bir süre önce İsrailli bir yazılım geliştiriciye ve onun aracılığıyla üç kıtadaki bir dizi elmas işletmesine karşı bir tedarik zinciri saldırısı başlatan bir tehdit aktörü olan Agrius’u keşfettiler.
İçinde Araştırma raporu (yeni sekmede açılır)ESET, İsrail firmasının Agrius’un Fantasy adlı yeni veri sileceği tarafından hedef alındığını söyledi. Bu silici, Agrius’un önceki aracı Apostle’a dayanmaktadır, ancak dikkate değer farklılıklar vardır.
Havari Üzerine İnşa Etmek
Şirket, “Fantasy silici, daha önce bildirilen Apostle silicinin temelleri üzerine inşa edildi, ancak Apostle’ın orijinal olarak yaptığı gibi fidye yazılımı gibi görünmeye çalışmıyor” dedi. “Bunun yerine, verileri silmeye doğru gidiyor. Kurbanlar, keşiflerin Fantasy konuşlandırılmadan birkaç hafta önce başladığı Güney Afrika’da, İsrail ve Hong Kong’da gözlemlendi.”
Araştırmacılar, Agrius’un İsrail şirketinin uç noktalara bulaşmalarına izin veren yazılım güncelleme mekanizmalarını hedef aldığından şüpheleniyorlar. (yeni sekmede açılır) İsrail’de bir elmas satıcısı ve bir İK danışmanlık firması, Güney Afrika’da bir elmas şirketi ve Hong Kong’da bir kuyumcu olan müşterilerine ait.
Tehdit aktörü, internete dönük uygulamalardaki bilinen güvenlik açıklarını aradı ve web kabuklarını dağıtmak için kullandı. Bu, hedef ağlarda kararlılıklarını korumalarına, yanal hareket etmelerine ve nihayetinde kötü amaçlı yükü teslim etmelerine izin verdi.
Araştırmacılar, “2021’deki keşfinden bu yana Agrius yalnızca yıkıcı operasyonlara odaklandı” diye açıkladı. “Fantasy, birçok açıdan, gerçek fidye yazılımı olarak yeniden yazılmadan önce başlangıçta fidye yazılımı kılığına giren önceki Agrius sileceği Apostle’a benzer.”
Fantasy ise “kendini fidye yazılımı olarak gizlemek için hiçbir çaba sarf etmez. Agrius operatörleri, sistemlere uzaktan bağlanmak ve Fantasy’yi yürütmek için Sandalet adlı yeni bir araç kullandılar.”
Aracılığıyla: Bilgi Güvenliği Dergisi (yeni sekmede açılır)