Erkennung des Fantasy Data Wipers, der von der Agrius APT in einem Supply-Chain-Angriff eingesetzt wird
Inhaltsverzeichnis:
Sicherheitsexperten von ESET haben eine zerstörerische Operation aufgedeckt, die von der Iran-unterstützten Agrius APT gestartet wurde, um Organisationen mit einem neuartigen Datenzerstörer anzugreifen. Der als Fantasy bezeichnete zerstörerische Malware wurde über einen koordinierten Supply-Chain-Angriff eingesetzt, der die Software-Updates eines namenlosen israelischen Anbieters missbraucht. Zu den Opfern gehören ein Personal- und IT-Beratungsunternehmen, ein Diamantenhändler und ein Schmuckverkäufer in Israel, Südafrika und Hongkong.
Erkennen von Fantasy Wiper Angriffen durch Agrius APT
Datenzerstörer-Malware wird absichtlich verwendet, um Daten auf den angegriffenen Systemen zu zerstören und erhebliche digitale und geschäftliche Unterbrechungen zu verursachen. Um Sicherheitspraktikern zu helfen, potenzielle Fantasy-Wiper-Angriffe rechtzeitig zu identifizieren, aggregiert die SOC Prime Platform eine Sigma-Regel, die von unserem eifrigen Threat Bounty-Entwickler erstellt wurde Aung Kyaw Min Naing.
Die folgende Regel erkennt das Löschen von Registrierungsschlüsseln durch den Fantasy-Zerstörer. Sie ist mit 19 SIEM-, EDR-, BDP- und XDR-Lösungen kompatibel und ist auf das neueste MITRE ATT&CK®-Framework v12 abgebildet, das die Taktik ‚Impact‘ und die entsprechende Technik ‚Datenzerstörung‘ (T1485) adressiert.
Nachwuchsforscher im Bereich Bedrohungen, die nach Möglichkeiten suchen, zur kollektiven Cyberabwehr beizutragen, sind eingeladen, sich den Reihen des Threat Bounty Programms anzuschließen, einer von der Crowd finanzierten Initiative. Schreiben Sie Erkennungscode, der von Sigma und ATT&CK unterstützt wird, teilen Sie Ihr Fachwissen mit Branchenkollegen und erhalten Sie Prämien für die Qualität und Geschwindigkeit Ihrer Arbeit, während Sie Ihre Fähigkeiten in der Detection Engineering stetig verbessern.
Bis heute bietet die SOC Prime Platform eine Vielzahl von Sigma-Regeln, die Werkzeuge und Angriffstechniken im Zusammenhang mit APT-Kollektiven erkennen. Drücken Sie den Erkunden Sie Erkennungen Button, um die Erkennungsalgorithmen zu überprüfen, die von den entsprechenden ATT&CK-Referenzen, Bedrohungsintelligenz-Links und anderen relevanten Metadaten begleitet werden.
Fantasy Data Wiper: Analyse der neuesten Kampagne von Agrius APT
Seit mindestens 2020 aktiv, ist die dem Iran angehörige Agrius APT ein relativ neuer Akteur auf der bösartigen Bühne, der seine Bemühungen hauptsächlich auf die Region des Nahen Ostens konzentriert. Die Gruppe geriet ins Rampenlicht durch einen Apostel-Wiper, der auf Einrichtungen in Israel und den Vereinigten Arabischen Emiraten abzielte. Anfänglich als Ransomware getarnt, zerstörte der Apostel verdeckt die Daten des Opfers, wurde aber im Laufe der Zeit modifiziert, um als tatsächlicher Ransomware-Strang zu agieren.
Laut der neuesten Untersuchung von ESET, hat Agrius APT nun zu einem neuen Datenzerstörer namens Fantasy gewechselt, um destruktive Operationen fortzusetzen. Als Nachfolger von Apostle bietet Fantasy keine Verschlüsselungsmöglichkeiten, sondern agiert rein als Zerstörer. Nach der Ausführung überschreibt es die Daten auf allen Laufwerken und Verzeichnissen, außer dem Windows-Ordner, und zerstört dann Dateien, um Wiederherstellungsversuche zu verhindern. Außerdem löscht Fantasy Registrierungsschlüssel in HKCR, löscht WinEventLogs und leert den Windows SystemDrive-Ordner. Schließlich überschreibt der Wiper nach einer 2-minütigen Ruhephase den Master Boot Record, löscht sich selbst und startet das System neu.
Die Kampagne, die auf Fantasy-Wiper-Einsätze abzielte, begann im Februar 2022, nachdem Angreifer das südafrikanische Unternehmen in der Diamantenindustrie angegriffen hatten, um Zugangsdaten zu stehlen. Weiterhin startete Agrius APT einen Supply-Chain-Angriff, der den israelischen Softwareanbieter ausnutzte, um den neuartigen Fantasy-Wiper und ein neues Tool zur lateralen Bewegung und Wiper-Ausführung namens Sandals zu verbreiten. Im Februar 2022 fiel ein israelisches Personal- und IT-Beratungsunternehmen dem Angriff zum Opfer, ebenso wie alle Nutzer der israelischen Software-Suite, die in der Diamantenindustrie weit verbreitet ist. Bis März 2022 wurde der Fantasy-Wiper in mehreren Unternehmen in Israel, Hongkong und Südafrika eingesetzt.
Wachsende Mengen von Cyberangriffen durch staatlich unterstützte APT-Gruppen und deren zunehmende Raffinesse erfordern eine ultra-schnelle Reaktion von Cyber-Verteidigern. Durchsuchen Sie socprime.com , um nach Sigma-Regeln gegen aktuelle und neu auftretende Bedrohungen zu suchen, einschließlich Malware, die Kryptobenutzer betrifft, und über 9.000 Ideen für Detection Engineering und Threat Hunting zusammen mit umfassendem Cyber-Bedrohungskontext zu erreichen. Oder upgraden Sie zu On Demand im Rahmen unseres Cyber Monday Angebots , das bis zum 31. Dezember gültig ist, und erhalten Sie zusätzlich zu dem in Ihrem gewählten Paket verfügbaren Erkennungs-Stack bis zu 200 Premium-Sigma-Regeln Ihrer Wahl.
