L’attaque de chaine d'approvisionnement dans le secteur diamantaire par Agrius APT, lié à l’Iran, permet à ESET Research de découvre un nouveau wiper
Publié le 08/12/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISLAVA, MONTRÉAL, le 8 décembre 2022 — Les chercheurs d'ESET ont découvert un nouveau wiper et son outil d'exécution, tous deux attribués au groupe Agrius APT lié à l'Iran. Les opérateurs de maliciels ont attaqué une chaîne d'approvisionnement en abusant d'un développeur de logiciels israélien pour déployer Fantasy, leur nouveau wiper ainsi que Sandals, un nouvel outil de mouvement latéral et d'exécution de Fantasy. La suite logicielle israélienne abusée, est utilisée dans le secteur du diamant. En février 2022, Agrius a commencé à cibler une société israélienne en ressources humaines, un grossiste en diamants et une société de conseil en informatique. Le groupe est connu pour ses activités destructrices. Des victimes ont aussi été observées en Afrique du Sud et à Hong Kong.
"La campagne a pris moins de trois heures. Pendant ce temps, les clients d'ESET étaient déjà protégés par des détections identifiant Fantasy comme un wiper et bloquant son exécution. Nous avons vu le développeur de logiciels fournir des mises à jour propres quelques heures après l'attaque », déclare Adam Burgher, analyste principal d'ESET Threat Intelligence. ESET a contacté le développeur pour l'informer à propos d'un compromis potentiel, mais ce contact est resté sans réponse.
« Le 20 février 2022, dans une entreprise du secteur diamantaire d’Afrique du Sud, Agrius a déployé des outils de collecte d'informations d'identification, probablement en préparation de sa campagne. Le 12 mars 2022, Agrius a lancé l'attaque par wiper en déployant Fantasy et Sandals, d'abord sur la victime en Afrique du Sud, puis sur celles en Israël et à Hong Kong », explique Burgher.
Fantasy efface tous les fichiers sur le disque ou tous les fichiers avec des extensions sur une liste de 682 extensions, y compris celles du nom de fichier pour les applis Microsoft 365 Word, PowerPoint et Excel ainsi que pour les fichiers vidéo, audio et image de format courant. Même si le maliciel fait tout pour rendre la récupération et l'analyse légale plus difficiles, il est probable que la récupération du drive du système d'exploitation Windows soit possible. On a observé que les victimes étaient à nouveau opérationnelles en quelques heures.
Agrius est un nouveau groupe APT lié à l'Iran et, depuis 2020, il cible des victimes en Israël et dans les Émirats Arabes Unis. Le groupe a d’abord déployé Apostle, un wiper déguisé en rançongiciel, mais a ensuite modifié Apostle en un véritable rançongiciel. Agrius exploite les vulnérabilités connues des applis Internet pour installer des webshells, puis effectue une reconnaissance interne avant de se déplacer latéralement, puis de déployer ses charges utiles malveillantes.
Depuis sa découverte en 2021, Agrius s'est concentré uniquement sur des opérations destructrices. A bien des égards, Fantasy est similaire à Apostle, le précédent wiper d’Agrius. Cependant, Fantasy ne fait aucun effort pour se déguiser en rançongiciel. Il n'y a que quelques petites adaptations entre de nombreuses fonctions d'origine dans Apostle et l'implémentation de Fantasy.
Pour plus d'informations techniques sur Fantasy le wiper d'Agrius, consultez le blog
“Fantasy – a new Agrius wiper deployed through a supply-chain attack” sur WeLiveSecurity. Suivez sur Twitter ESET Research pour les dernières nouvelles concernant ESET Research.
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/ .
"La campagne a pris moins de trois heures. Pendant ce temps, les clients d'ESET étaient déjà protégés par des détections identifiant Fantasy comme un wiper et bloquant son exécution. Nous avons vu le développeur de logiciels fournir des mises à jour propres quelques heures après l'attaque », déclare Adam Burgher, analyste principal d'ESET Threat Intelligence. ESET a contacté le développeur pour l'informer à propos d'un compromis potentiel, mais ce contact est resté sans réponse.
« Le 20 février 2022, dans une entreprise du secteur diamantaire d’Afrique du Sud, Agrius a déployé des outils de collecte d'informations d'identification, probablement en préparation de sa campagne. Le 12 mars 2022, Agrius a lancé l'attaque par wiper en déployant Fantasy et Sandals, d'abord sur la victime en Afrique du Sud, puis sur celles en Israël et à Hong Kong », explique Burgher.
Fantasy efface tous les fichiers sur le disque ou tous les fichiers avec des extensions sur une liste de 682 extensions, y compris celles du nom de fichier pour les applis Microsoft 365 Word, PowerPoint et Excel ainsi que pour les fichiers vidéo, audio et image de format courant. Même si le maliciel fait tout pour rendre la récupération et l'analyse légale plus difficiles, il est probable que la récupération du drive du système d'exploitation Windows soit possible. On a observé que les victimes étaient à nouveau opérationnelles en quelques heures.
Agrius est un nouveau groupe APT lié à l'Iran et, depuis 2020, il cible des victimes en Israël et dans les Émirats Arabes Unis. Le groupe a d’abord déployé Apostle, un wiper déguisé en rançongiciel, mais a ensuite modifié Apostle en un véritable rançongiciel. Agrius exploite les vulnérabilités connues des applis Internet pour installer des webshells, puis effectue une reconnaissance interne avant de se déplacer latéralement, puis de déployer ses charges utiles malveillantes.
Depuis sa découverte en 2021, Agrius s'est concentré uniquement sur des opérations destructrices. A bien des égards, Fantasy est similaire à Apostle, le précédent wiper d’Agrius. Cependant, Fantasy ne fait aucun effort pour se déguiser en rançongiciel. Il n'y a que quelques petites adaptations entre de nombreuses fonctions d'origine dans Apostle et l'implémentation de Fantasy.
Pour plus d'informations techniques sur Fantasy le wiper d'Agrius, consultez le blog
“Fantasy – a new Agrius wiper deployed through a supply-chain attack” sur WeLiveSecurity. Suivez sur Twitter ESET Research pour les dernières nouvelles concernant ESET Research.
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/ .