サプライチェーン攻撃でAgrius APTが利用するFantasyデータワイパーの検出

ESETのセキュリティ専門家は、イランが支援するAgrius APTが、新しいデータワイパーで組織を標的とした破壊作戦を開始したことを発表しました。Fantasyと名付けられたこの破壊的マルウェアは、匿名のイスラエルベンダーのソフトウェアアップデートを悪用した供給チェーン攻撃を通じて展開されました。被害者の中には、イスラエル、南アフリカ、香港の人事およびITコンサルティング会社、ダイヤモンド卸売業者、宝石ベンダーが含まれています。

Agrius APTによるFantasyワイパー攻撃を検出する

データワイパーマルウェアは、対象のシステム上のデータを破壊し、重大なデジタルおよびビジネスの中断を引き起こすために意図的に使用されます。セキュリティプラクティショナーがFantasyワイパー攻撃をタイムリーに特定できるようにするため、SOC Primeプラットフォームは、当社の優れたThreat Bounty開発者が作成したSigmaルールを集約しています Aung Kyaw Min Naing. 

削除されたレジストリキーの検出によるAgrius APTグループの活動の可能性 [via_registry_event]

以下のルールは、Fantasyワイパーによるレジストリキーの削除を検出します。これは19のSIEM、EDR、BDP、およびXDRソリューションと互換性があり、最新の MITRE ATT&CK®フレームワーク v12に対応し、影響戦術とそれに対応するデータ破壊 (T1485) 技術を扱っています。

集団的なサイバー防衛に貢献する方法を探している志望の脅威研究者は、 Threat Bounty Program というクラウドソースの取り組みに加わることが歓迎されます。SigmaおよびATT&CKを基にした検出コードを書くことで業界の仲間と専門知識を共有し、作業の質とスピードに応じて報酬を得ながら、検出エンジニアリングのスキルを継続的に向上させることができます。

現在までに、SOC Primeプラットフォームは、APT集団に関連するツールや攻撃技法を検出するさまざまなSigmaルールを提供しています。「 Explore Detections 」ボタンを押すことで、対応するATT&CK参照、脅威インテリジェンスのリンク、その他の関連メタデータを伴った検出アルゴリズムを確認できます。

Explore Detections

Fantasyデータワイパー：Agrius APTによる最新のキャンペーンの分析

少なくとも2020年以降活動しているイラン系のAgrius APTは、主に中東地域を中心に活動を集中している比較的新しい攻撃者です。このグループは、イスラエルおよびアラブ首長国連邦内の組織を狙ったApostleワイパーによって注目を集めました。Apostleは当初ランサムウェアとして偽装され、被害者のデータを秘密裏に破壊していましたが、後に実際のランサムウェアとして動作するように改変されました。

最新の ESETによる調査によれば、Agrius APTは破壊作戦を続けるために新たなデータワイパーFantasyに変更しました。Apostleの後継であるFantasyは、暗号化能力を持たず、純粋にワイパーとして働きます。実行されると、ドライブやディレクトリ上のデータをどんどん上書きし、Windowsフォルダを除いてファイルを破壊し、復旧を妨げます。また、FantasyはHKCR内のレジストリキーを削除し、WinEventLogsをクリアし、Windows SystemDriveフォルダを空にします。最後に、2分間のスリープモードの後、ワイパーはマスターブートレコードを上書きし、自ら削除してシステムを再起動します。

Fantasyワイパーを展開するためのキャンペーンは、敵がダイヤモンド業界の南アフリカ企業に侵入して資格情報をダンプした後、2022年2月に始まりました。さらに、Agrius APTは、イスラエルのソフトウェアベンダーを悪用した供給チェーン攻撃を開始し、新しい側方移動とワイパー実行ツールSandalsと新しいFantasyワイパーをドロップしました。2022年2月、イスラエルの人事およびITコンサルティング会社が攻撃の標的となり、ダイヤモンド業界で広く採用されているイスラエルのソフトウェアスイートの全ユーザーが攻撃を受けました。2022年3月までに、Fantasyワイパーはイスラエル、香港、南アフリカのいくつかの企業に展開されました。

国家支援のAPTグループによるサイバー攻撃の増大とその高度化により、サイバー防衛者には超迅速な対応が求められています。現在および新たに発生する脅威に対するSigmaルールを検索し、サイバー脅威の文脈で包括的に、9,000以上の検出エンジニアリングと脅威の探求のアイデアを得ることができる socprime.com をチェックしてください。または、12月31日まで有効な サイバーマンデーの特別オファー の一環としてオンデマンドにアップグレードし、選択したパッケージで利用可能な検出スタックに加え、お好みの200個のプレミアムSigmaルールを入手してください。