Detección de Fantasy Data Wiper Utilizado por Agrius APT en un Ataque a la Cadena de Suministro
Tabla de contenidos:
Expertos en seguridad de ESET revelaron una operación destructiva lanzada por el APT Agrius respaldado por Irán para atacar organizaciones con un nuevo eliminador de datos. Llamado Fantasy, el malware destructivo ha sido desplegado a través de un ataque coordinado a la cadena de suministro, aprovechando las actualizaciones de software de un proveedor israelí no identificado. Entre las víctimas se encuentran una empresa de consultoría de RRHH y TI, un mayorista de diamantes y un proveedor de joyas en Israel, Sudáfrica y Hong Kong.
Detectar ataques del eliminador Fantasy por el APT Agrius
El malware de eliminadores de datos se utiliza intencionadamente para destruir datos en los sistemas objetivo, causando grandes interrupciones digitales y empresariales. Para ayudar a los profesionales de seguridad a identificar potenciales ataques del eliminador Fantasy a tiempo, la Plataforma SOC Prime agrupa una regla Sigma elaborada por nuestro perspicaz desarrollador de Threat Bounty Aung Kyaw Min Naing.
La regla a continuación detecta la eliminación de claves de registro por el eliminador Fantasy. Es compatible con 19 soluciones de SIEM, EDR, BDP y XDR y está mapeada al último marco MITRE ATT&CK® v12 abordando la táctica de Impacto y la técnica correspondiente de Destrucción de Datos (T1485).
Los investigadores de amenazas aspirantes que buscan formas de contribuir a la defensa cibernética colectiva son bienvenidos a unirse a las filas del Programa de Recompensas por Amenazas iniciativa colaborativa. Escriba código de detección respaldado por Sigma y ATT&CK, comparta su experiencia con colegas de la industria y obtenga recompensas por la calidad y rapidez de su trabajo mientras mejora constantemente sus habilidades en Ingeniería de Detección.
Hasta la fecha, la Plataforma SOC Prime ofrece una variedad de reglas Sigma que detectan herramientas y técnicas de ataque asociadas con colectivos APT. Presione el botón Explorar Detecciones para revisar los algoritmos de detección acompañados por las referencias ATT&CK correspondientes, enlaces de inteligencia de amenazas y otros metadatos relevantes.
Eliminador de Datos Fantasy: Analizando la Última Campaña de Agrius APT
Activo al menos desde 2020, el APT Agrius afiliado a Irán es un jugador relativamente nuevo en el ámbito malicioso concentrando sus esfuerzos principalmente en la región de Oriente Medio. El grupo cobró protagonismo con un eliminador Apostle apuntando a entidades dentro de Israel y los Emiratos Árabes Unidos. Apostle fue inicialmente disfrazado como ransomware, destruyendo encubiertamente los datos de la víctima, pero con el tiempo el malware fue modificado para actuar como una verdadera variante de ransomware.
Según la última investigación de ESET, Agrius APT ahora ha cambiado a un nuevo eliminador de datos llamado Fantasy para proceder con operaciones destructivas. Como sucesor de Apostle, Fantasy no posee capacidades de encriptación, pero actúa puramente como un eliminador. Tras su ejecución, sobrescribe los datos en todos los discos y directorios excepto en la carpeta de Windows y luego destruye archivos para evitar intentos de recuperación. Además, Fantasy elimina claves de registro en HKCR, borra WinEventLogs y vacía la carpeta de SystemDrive de Windows. Finalmente, tras un modo de suspensión de 2 minutos, el eliminador sobrescribe el registro de arranque maestro, se elimina a sí mismo y reinicia el sistema.
La campaña dirigida a los despliegues del eliminador Fantasy comenzó en febrero de 2022 después de que los adversarios violaran una empresa sudafricana en la industria del diamante para volcar credenciales. Además, Agrius APT lanzó un ataque a la cadena de suministro abusando del proveedor de software israelí para desplegar el novedoso eliminador Fantasy y una nueva herramienta de movimiento lateral y ejecución de eliminadores llamada Sandals. En febrero de 2022, una firma israelí de consultoría de RRHH y TI fue víctima del ataque, así como todos los usuarios del paquete de software israelí ampliamente adoptado en la industria del diamante. Para marzo de 2022, el eliminador Fantasy se había desplegado en varias empresas en Israel, Hong Kong y Sudáfrica.
El creciente volumen de ciberataques por parte de grupos APT respaldados por estados y su creciente sofisticación requieren una ultra-respuesta de los defensores cibernéticos. Navegue por socprime.com para buscar reglas Sigma contra amenazas actuales y emergentes, incluyendo malware que afecta a usuarios de criptomonedas, y acceda a más de 9,000 ideas para Ingeniería de Detección y Caza de Amenazas junto con un contexto integral de amenazas cibernéticas. O actualice a On Demand como parte de nuestra oferta de Cyber Monday válido hasta el 31 de diciembre, y obtenga hasta 200 reglas Sigma premium de su elección además del conjunto de detección disponible en el paquete elegido.
