Détecter le logiciel malveillant destructeur Fantasy utilisé par Agrius APT dans une attaque par la chaîne d’approvisionnement
Table des matières :
Des experts en sécurité d’ESET ont révélé une opération destructrice lancée par le groupe APT Agrius soutenu par l’Iran pour cibler des organisations avec un nouveau logiciel de destruction de données. Surnommé Fantasy, le malware destructeur a été déployé via une attaque coordonnée de la chaîne d’approvisionnement abusant des mises à jour logicielles d’un fournisseur israélien non nommé. Parmi les victimes figurent une société de conseil en RH et IT, un grossiste en diamants, et un vendeur de bijoux en Israël, en Afrique du Sud, et à Hong Kong.
Détecter les attaques du logiciel de destruction Fantasy par Agrius APT
Les logiciels de destruction de données sont intentionnellement utilisés pour détruire les données sur les systèmes ciblés, causant des interruptions numériques et commerciales majeures. Pour aider les professionnels de la sécurité à identifier en temps opportun les potentielles attaques de Fantasy, la plateforme SOC Prime agrège une règle Sigma créée par notre développeur attentif de Threat Bounty Aung Kyaw Min Naing.
La règle ci-dessous détecte la suppression de clés de registre par le logiciel de destruction Fantasy. Elle est compatible avec 19 solutions SIEM, EDR, BDP, et XDR et est mappée au dernier cadre MITRE ATT&CK® v12 abordant la tactique ‘Impact’ et la technique correspondante de ‘Destruction de données’ (T1485).
Les chercheurs en menaces souhaitant contribuer à la défense collective contre les cybermenaces sont invités à rejoindre les rangs du Programme Threat Bounty initiative participative. Écrire du code de détection soutenu par Sigma et ATT&CK, partager votre expertise avec vos pairs de l’industrie, et recevoir des récompenses pour la qualité et la rapidité de votre travail tout en améliorant constamment vos compétences en ingénierie de détection.
À ce jour, la plateforme SOC Prime offre une variété de règles Sigma détectant des outils et des techniques d’attaque associés aux collectifs APT. Cliquez sur le Explore Detections bouton pour vérifier les algorithmes de détection accompagnés des références ATT&CK correspondantes, des liens de renseignement sur les menaces, et d’autres métadonnées pertinentes.
Fantasy Data Wiper : Analyser la dernière campagne d’Agrius APT
Actif depuis au moins 2020, Agrius APT affilié à l’Iran est un nouvel acteur relativement récent sur la scène malveillante, concentrant ses efforts principalement sur la région du Moyen-Orient. Le groupe a attiré l’attention avec un logiciel de destruction Apostle ciblant des entités en Israël et aux Émirats Arabes Unis. Apostle avait au départ été déguisé en ransomware, détruisant secrètement les données de la victime, mais a été modifié pour agir comme une réelle souche de ransomware.
Selon la dernière enquête par ESET, Agrius APT a maintenant recours à un nouveau logiciel de destruction de données appelé Fantasy pour poursuivre ses opérations destructrices. Successeur d’Apostle, Fantasy ne possède aucune capacité de chiffrement mais agit purement comme un logiciel destructeur. Lors de son exécution, il réécrit les données sur tous les disques et répertoires sauf le dossier Windows, puis détruit les fichiers pour empêcher les tentatives de récupération. De plus, Fantasy supprime des clés de registre dans HKCR, vide WinEventLogs, et vide le dossier SystemDrive de Windows. Enfin, après un mode veille de 2 minutes, le destructeur réécrit le master boot record, se supprime, et redémarre le système.
La campagne visant à déployer Fantasy a commencé en février 2022 après que les adversaires ont violé l’entreprise sud-africaine dans l’industrie du diamant pour extraire des identifiants. Ensuite, Agrius APT a lancé une attaque par la chaîne d’approvisionnement abusant du fournisseur logiciel israélien pour déployer le logiciel de destruction Fantasy et un nouvel outil d’exécution de mouvements latéraux et destructeurs appelé Sandals. En février 2022, une entreprise israélienne de conseil en RH et IT est tombée victime de l’attaque ainsi que tous les utilisateurs de la suite logicielle israélienne largement adoptée dans l’industrie du diamant. En mars 2022, Fantasy a été déployé dans plusieurs entreprises en Israël, à Hong Kong, et en Afrique du Sud.
Le nombre croissant d’attaques cybernétiques par des groupes APT soutenus par des États et leur sophistication accrue exigent une ultra-réactivité de la part des défenseurs cyber. Parcourez socprime.com pour rechercher des règles Sigma contre les menaces actuelles et émergentes, y compris les logiciels malveillants affectant les utilisateurs de cryptomonnaie, et accédez à plus de 9 000 idées pour l’Ingénierie de la détection et la chasse aux menaces ainsi qu’à un contexte complet sur les menaces cybernétiques. Ou passez à la demande dans le cadre de notre offre Cyber Monday valable jusqu’au 31 décembre, et obtenez jusqu’à 200 règles Sigma premium de votre choix en plus de la pile de détection disponible dans le package de votre choix.
