Un actor iran\u00ed de amenazas persistentes avanzadas (APT) conocido como agrio<\/strong> ha sido atribuido como responsable de un conjunto de ataques de limpieza de datos dirigidos a industrias de diamantes en Sud\u00e1frica, Israel y Hong Kong.<\/p>\n Se cree que el limpiador, denominado Fantasy por ESET, se entreg\u00f3 a trav\u00e9s de un ataque a la cadena de suministro dirigido a un desarrollador de software israel\u00ed como parte de una campa\u00f1a que comenz\u00f3 en febrero de 2022.<\/p>\n Las v\u00edctimas incluyen empresas de recursos humanos, empresas de consultor\u00eda de TI y un mayorista de diamantes en Israel; una entidad sudafricana que trabaja en la industria del diamante; y un joyero con sede en Hong Kong.<\/p>\n “El limpiador Fantasy se basa en los cimientos del limpiador Apollo informado anteriormente, pero no intenta enmascararse como ransomware, como lo hizo originalmente Apostle, investigador de ESET, Adam Burgher. revelado<\/a> en un an\u00e1lisis del mi\u00e9rcoles. “En cambio, se pone a trabajar borrando datos”.<\/p>\n Ap\u00f3stol fue documentado por primera vez por SentinelOne en mayo de 2021 como un limpiador convertido en ransomware que se implement\u00f3 en ataques destructivos contra objetivos israel\u00edes.<\/p>\n Agrius, el grupo alineado con Ir\u00e1n detr\u00e1s de las intrusiones, ha estado activo desde al menos diciembre de 2020 y aprovecha las fallas de seguridad conocidas en las aplicaciones orientadas a Internet para lanzar shells web que, a su vez, se utilizan para facilitar el reconocimiento, el movimiento lateral y la entrega. de las cargas \u00fatiles de la etapa final.<\/p>\n La empresa de ciberseguridad eslovaca dijo que el primer ataque se detect\u00f3 el 20 de febrero de 2022, cuando el actor despleg\u00f3 herramientas de recolecci\u00f3n de credenciales en la red de TI de la organizaci\u00f3n sudafricana.<\/p>\n Posteriormente, Agrius inici\u00f3 el ataque de limpieza a trav\u00e9s de Fantasy el 12 de marzo de 2022, antes de atacar a otras empresas en Israel y Hong Kong en la misma fecha.<\/p>\n Fantasy se ejecuta mediante otra herramienta llamada Sandals, un ejecutable de Windows de 32 bits escrito en C#\/.NET. Se dice que se implement\u00f3 en el host comprometido a trav\u00e9s de un ataque a la cadena de suministro utilizando el mecanismo de actualizaci\u00f3n de software del desarrollador israel\u00ed.<\/p>\n Esto est\u00e1 respaldado por la evaluaci\u00f3n de ESET de que todas las v\u00edctimas son clientes del desarrollador de software afectado y que el binario del limpiador sigue una convenci\u00f3n de nomenclatura (“fantasy45.exe” y “fantasy35.exe”) similar a la de su contraparte leg\u00edtima<\/a>.<\/p>\n El limpiador, por su parte, funciona recuperando recursivamente la lista de directorios para cada unidad, sobrescribiendo cada archivo en esos directorios con datos basura, asignando una marca de tiempo futura a los archivos y luego elimin\u00e1ndolos.<\/p>\n “Presumiblemente, esto se hace para dificultar la recuperaci\u00f3n y el an\u00e1lisis forense”, explic\u00f3 Burgher.<\/p>\n En un nuevo intento de borrar todos los rastros de la actividad, Fantasy borra todos los registros de eventos de Windows, purga recursivamente todos los archivos en la unidad del sistema, sobrescribe el Registro de arranque maestro del sistema, se autoelimina y finalmente reinicia la m\u00e1quina.<\/p>\n La campa\u00f1a, que no dur\u00f3 m\u00e1s de tres horas, finalmente fracas\u00f3 y ESET afirm\u00f3 que pudo bloquear la ejecuci\u00f3n del limpiador. Desde entonces, el desarrollador del software ha lanzado actualizaciones limpias para tapar los ataques.<\/p>\n ESET no revel\u00f3 el nombre de la empresa israel\u00ed que fue v\u00edctima del ataque a la cadena de suministro, pero la evidencia apunta a que se trata de Rubinstein Software, que comercializa una empresa de planificaci\u00f3n de recursos (ERP<\/a>) soluci\u00f3n llamada Fantas\u00eda<\/a> que se utiliza para la gesti\u00f3n de existencias de joyer\u00eda.<\/p>\n “Desde su descubrimiento en 2021, Agrius se ha centrado \u00fanicamente en operaciones destructivas”, concluy\u00f3 Burgher.<\/p>\n “Con ese fin, los operadores de Agrius probablemente ejecutaron un ataque a la cadena de suministro al apuntar a los mecanismos de actualizaci\u00f3n de software de una compa\u00f1\u00eda de software israel\u00ed para implementar Fantasy, su limpiaparabrisas m\u00e1s nuevo, a las v\u00edctimas en Israel, Hong Kong y Sud\u00e1frica”.<\/p>\n Agrius est\u00e1 lejos de ser el primer grupo de amenazas vinculado a Ir\u00e1n que ha sido detectado implementando malware de limpieza destructivo.<\/p>\n los APT33<\/a> grupo de hackers (tambi\u00e9n conocido como Elfin, holmio<\/a>o Refined Kitten), que se sospecha que opera a instancias del gobierno iran\u00ed, se dice que estuvo detr\u00e1s de m\u00faltiples ataques que utilizaron el Limpiaparabrisas Shamoon<\/a> contra objetivos ubicados en el Medio Oriente.<\/p>\n El malware de borrado de datos con nombre en c\u00f3digo ZeroCleare tambi\u00e9n ha sido empleado por actores de amenazas respaldados por Ir\u00e1n rastreados como APT34 (tambi\u00e9n conocido como Oilrig o Helix Kitten) en ataques dirigidos contra organizaciones del sector energ\u00e9tico e industrial en el Medio Oriente.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Los-investigadores-detallan-la-vulnerabilidad-entre-inquilinos-de-AppSync-en.jpg\")
<\/a><\/center><\/div>\n![\"Amenaza](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1670499257_824_Los-piratas-informaticos-iranies-atacan-la-industria-del-diamante-con.png\" "\\"Amenaza")
<\/div>\n