Un actor iraní de amenazas persistentes avanzadas (APT) conocido como agrio ha sido atribuido como responsable de un conjunto de ataques de limpieza de datos dirigidos a industrias de diamantes en Sudáfrica, Israel y Hong Kong.
Se cree que el limpiador, denominado Fantasy por ESET, se entregó a través de un ataque a la cadena de suministro dirigido a un desarrollador de software israelí como parte de una campaña que comenzó en febrero de 2022.
Las víctimas incluyen empresas de recursos humanos, empresas de consultoría de TI y un mayorista de diamantes en Israel; una entidad sudafricana que trabaja en la industria del diamante; y un joyero con sede en Hong Kong.
«El limpiador Fantasy se basa en los cimientos del limpiador Apollo informado anteriormente, pero no intenta enmascararse como ransomware, como lo hizo originalmente Apostle, investigador de ESET, Adam Burgher. revelado en un análisis del miércoles. «En cambio, se pone a trabajar borrando datos».
Apóstol fue documentado por primera vez por SentinelOne en mayo de 2021 como un limpiador convertido en ransomware que se implementó en ataques destructivos contra objetivos israelíes.
Agrius, el grupo alineado con Irán detrás de las intrusiones, ha estado activo desde al menos diciembre de 2020 y aprovecha las fallas de seguridad conocidas en las aplicaciones orientadas a Internet para lanzar shells web que, a su vez, se utilizan para facilitar el reconocimiento, el movimiento lateral y la entrega. de las cargas útiles de la etapa final.
La empresa de ciberseguridad eslovaca dijo que el primer ataque se detectó el 20 de febrero de 2022, cuando el actor desplegó herramientas de recolección de credenciales en la red de TI de la organización sudafricana.
Posteriormente, Agrius inició el ataque de limpieza a través de Fantasy el 12 de marzo de 2022, antes de atacar a otras empresas en Israel y Hong Kong en la misma fecha.
Fantasy se ejecuta mediante otra herramienta llamada Sandals, un ejecutable de Windows de 32 bits escrito en C#/.NET. Se dice que se implementó en el host comprometido a través de un ataque a la cadena de suministro utilizando el mecanismo de actualización de software del desarrollador israelí.
Esto está respaldado por la evaluación de ESET de que todas las víctimas son clientes del desarrollador de software afectado y que el binario del limpiador sigue una convención de nomenclatura («fantasy45.exe» y «fantasy35.exe») similar a la de su contraparte legítima.
El limpiador, por su parte, funciona recuperando recursivamente la lista de directorios para cada unidad, sobrescribiendo cada archivo en esos directorios con datos basura, asignando una marca de tiempo futura a los archivos y luego eliminándolos.
«Presumiblemente, esto se hace para dificultar la recuperación y el análisis forense», explicó Burgher.
En un nuevo intento de borrar todos los rastros de la actividad, Fantasy borra todos los registros de eventos de Windows, purga recursivamente todos los archivos en la unidad del sistema, sobrescribe el Registro de arranque maestro del sistema, se autoelimina y finalmente reinicia la máquina.
La campaña, que no duró más de tres horas, finalmente fracasó y ESET afirmó que pudo bloquear la ejecución del limpiador. Desde entonces, el desarrollador del software ha lanzado actualizaciones limpias para tapar los ataques.
ESET no reveló el nombre de la empresa israelí que fue víctima del ataque a la cadena de suministro, pero la evidencia apunta a que se trata de Rubinstein Software, que comercializa una empresa de planificación de recursos (ERP) solución llamada Fantasía que se utiliza para la gestión de existencias de joyería.
«Desde su descubrimiento en 2021, Agrius se ha centrado únicamente en operaciones destructivas», concluyó Burgher.
«Con ese fin, los operadores de Agrius probablemente ejecutaron un ataque a la cadena de suministro al apuntar a los mecanismos de actualización de software de una compañía de software israelí para implementar Fantasy, su limpiaparabrisas más nuevo, a las víctimas en Israel, Hong Kong y Sudáfrica».
Agrius está lejos de ser el primer grupo de amenazas vinculado a Irán que ha sido detectado implementando malware de limpieza destructivo.
los APT33 grupo de hackers (también conocido como Elfin, holmioo Refined Kitten), que se sospecha que opera a instancias del gobierno iraní, se dice que estuvo detrás de múltiples ataques que utilizaron el Limpiaparabrisas Shamoon contra objetivos ubicados en el Medio Oriente.
El malware de borrado de datos con nombre en código ZeroCleare también ha sido empleado por actores de amenazas respaldados por Irán rastreados como APT34 (también conocido como Oilrig o Helix Kitten) en ataques dirigidos contra organizaciones del sector energético e industrial en el Medio Oriente.