Rilevare il Fantasy Data Wiper utilizzato da Agrius APT in un attacco alla catena di approvvigionamento
Indice:
Gli esperti di sicurezza di ESET hanno rivelato un’operazione distruttiva lanciata dall’Agrius APT sostenuto dall’Iran per colpire le organizzazioni con un nuovo data wiper. Chiamato Fantasy, il malware distruttivo è stato distribuito tramite un attacco coordinato alla catena di fornitura che sfrutta gli aggiornamenti software di un fornitore israeliano non identificato. Tra le vittime ci sono un’azienda di consulenza HR e IT, un grossista di diamanti e un venditore di gioielli in Israele, Sudafrica e Hong Kong.
Rileva gli attacchi Fantasy Wiper da parte di Agrius APT
I malware data wiper sono intenzionalmente utilizzati per distruggere i dati sui sistemi presi di mira, causando gravi interruzioni digitali e aziendali. Per aiutare i professionisti della sicurezza a identificare tempestivamente potenziali attacchi wiper Fantasy, la piattaforma SOC Prime aggrega una regola Sigma creata dal nostro sviluppatore esperto di Threat Bounty Aung Kyaw Min Naing.Â
La regola seguente rileva la cancellazione delle chiavi di registro da parte del wiper Fantasy. È compatibile con 19 soluzioni SIEM, EDR, BDP e XDR ed è mappata sull’ultima MITRE ATT&CK® framework v12 che affronta la tattica dell’Impatto e la tecnica di Distruzione Dati (T1485).
I ricercatori di minacce aspiranti che cercano modi per contribuire alla difesa collettiva del cyber sono invitati a unirsi ai ranghi del Threat Bounty Program iniziativa crowdsourced. Scrivi codice di rilevamento supportato da Sigma e ATT&CK, condividi le tue competenze con i colleghi del settore e ricevi una ricompensa per la qualità e la velocità del tuo lavoro migliorando costantemente le tue abilità di Detection Engineering.
Ad oggi, la piattaforma SOC Prime offre una varietà di regole Sigma che rilevano strumenti e tecniche di attacco associate ai collettivi APT. Premi il pulsante Esplora Rilevamenti per controllare gli algoritmi di rilevamento accompagnati dalle corrispondenti referenze ATT&CK, link di intelligence sulle minacce e altri dati rilevanti.
Fantasy Data Wiper: Analisi della campagna più recente da parte di Agrius APT
Attivo dal 2020, Agrius APT affiliato all’Iran è un attore relativamente nuovo nell’arena maligna, concentrando i suoi sforzi principalmente nella regione del Medio Oriente. Il gruppo è salito alla ribalta con un wiper Apostle che prendeva di mira entità all’interno di Israele e degli Emirati Arabi Uniti. Apostle è stato inizialmente camuffato come ransomware, distruggendo segretamente i dati della vittima, ma col tempo il malware è stato modificato per agire come un ceppo ransomware reale.
Secondo l’ultima indagine di ESET, Agrius APT è passato a un nuovo data wiper chiamato Fantasy per proseguire con operazioni distruttive. Essendo un successore di Apostle, Fantasy non possiede capacità di crittografia ma agisce puramente come un wiper. Al momento dell’esecuzione, sovrascrive i dati su tutti i drive e le directory, tranne la cartella Windows, e poi distrugge i file per prevenire tentativi di recupero. Inoltre, Fantasy cancella le chiavi di registro in HKCR, svuota i WinEventLogs e azzera la cartella Windows SystemDrive. Infine, dopo una modalità sleep di 2 minuti, il wiper sovrascrive il master boot record, si elimina e riavvia il sistema.
La campagna mirata alla distribuzione del wiper Fantasy è iniziata nel febbraio 2022 dopo che gli avversari hanno violato un’azienda sudafricana nel settore dei diamanti per scaricare credenziali. Successivamente, Agrius APT ha lanciato un attacco alla catena di fornitura sfruttando il fornitore di software israeliano per rilasciare il nuovo wiper Fantasy e un nuovo strumento di movimento laterale ed esecuzione del wiper Sandals. Nel febbraio 2022, una società di consulenza israeliana HR e IT è caduta vittima dell’attacco così come tutti gli utenti della suite software israeliana ampiamente adottata nel settore dei diamanti. Entro marzo 2022, il wiper Fantasy è stato distribuito in diverse aziende in Israele, Hong Kong e Sudafrica.
I volumi in crescita di attacchi informatici da parte di gruppi APT sostenuti dallo stato e la loro crescente sofisticazione richiedono una ultra-responsività da parte dei difensori informatici. Visita socprime.com per cercare regole Sigma contro minacce attuali ed emergenti, inclusi i malware che colpiscono gli utenti di criptovalute, e raggiungi oltre 9.000 idee per Detection Engineering e Threat Hunting insieme a un contesto completo sulle minacce cyber. Oppure aggiorna a On Demand come parte del nostro Cyber Monday deal valido fino al 31 dicembre, e ottieni fino a 200 regole Sigma premium a tua scelta in aggiunta allo stack di rilevamento disponibile nel pacchetto scelto.
