Detectando o Fantasy Data Wiper Utilizado pela Agrius APT em um Ataque à Cadeia de Suprimentos
Índice:
Especialistas em segurança da ESET revelaram uma operação destrutiva lançada pelo Agrius APT, apoiado pelo Irã, para atacar organizações com um novo limpador de dados. Batizado de Fantasy, o malware destrutivo foi implantado através de um ataque coordenado à cadeia de suprimentos abusando das atualizações de software de um fornecedor israelense não revelado. Entre as vítimas estão uma empresa de consultoria de RH e TI, uma atacadista de diamantes e uma fornecedora de joias em Israel, África do Sul e Hong Kong.
Detectar Ataques do Fantasy Wiper pelo Agrius APT
Malwares wipers são intencionalmente usados para destruir dados nos sistemas-alvo, causando interrupções digitais e de negócios significativas. Para ajudar os praticantes de segurança a identificar tempestivamente possíveis ataques do limpador Fantasy, a Plataforma SOC Prime agrega uma regra Sigma criada pelo nosso atento desenvolvedor Threat Bounty Aung Kyaw Min Naing.
A regra abaixo detecta a exclusão de chaves de registro pelo limpador Fantasy. É compatível com 19 soluções SIEM, EDR, BDP e XDR e estão mapeadas para o mais recente framework MITRE ATT&CK® v12 abordando a tática de Impacto e a técnica correspondente de Destruição de Dados (T1485).
Pesquisadores aspirantes a ameaças que procuram maneiras de contribuir para a defesa coletiva cibernética são bem-vindos a se juntar às fileiras do Programa Threat Bounty iniciativa colaborativa. Escreva código de detecção apoiado por Sigma e ATT&CK, compartilhe sua expertise com pares da indústria e receba recompensas pela qualidade e velocidade do seu trabalho, enquanto melhora constantemente suas habilidades em Engenharia de Detecção.
Até o momento, a Plataforma SOC Prime oferece uma variedade de ferramentas de detecção de regras Sigma e técnicas de ataque associadas a coletivos APT. Clique no botão Explorar Detecções para verificar os algoritmos de detecção acompanhados das referências ATT&CK correspondentes, links de inteligência de ameaças e outros metadados relevantes.
Fantasy Data Wiper: Analisando a Última Campanha do Agrius APT
Ativo desde pelo menos 2020, o Agrius APT, afiliado ao Irã, é um jogador relativamente novo no cenário malicioso, concentrando seus esforços principalmente na região do Oriente Médio. O grupo ganhou destaque com um limpador chamado Apostle, que tinha como alvo entidades em Israel e nos Emirados Árabes Unidos. Inicialmente, o Apostle foi disfarçado como ransomware, destruindo secretamente os dados das vítimas, mas com o tempo, o malware foi modificado para atuar como uma cepa real de ransomware.
De acordo com a última investigação da ESET, o Agrius APT agora mudou para um novo limpador de dados chamado Fantasy para proceder com operações destrutivas. Sendo um sucessor do Apostle, Fantasy não possui nenhuma capacidade de criptografia, mas atua puramente como um limpador. Após a execução, ele sobrescreve os dados em todos os discos e diretórios, exceto a pasta do Windows, e então destrói os arquivos para evitar tentativas de recuperação. Além disso, o Fantasy deleta chaves de registro em HKCR, limpa os WinEventLogs e apaga a pasta SystemDrive do Windows. Finalmente, após um modo de espera de 2 minutos, o limpador sobrescreve o registro de inicialização principal, se deleta e reinicia o sistema.
A campanha destinada às implantações do limpador Fantasy começou em fevereiro de 2022, depois que os adversários violaram a empresa sul-africana da indústria de diamantes para despejar credenciais. Em seguida, o Agrius APT lançou um ataque à cadeia de suprimentos abusando do fornecedor de software israelense para implantar o novo limpador Fantasy e uma nova ferramenta de movimentação lateral e execução de wiper chamada Sandals. Em fevereiro de 2022, uma empresa israelense de consultoria de RH e TI também se tornou vítima do ataque, assim como todos os usuários da suíte de software israelense amplamente adotada na indústria de diamantes. Em março de 2022, o limpador Fantasy foi implantado em várias empresas em Israel, Hong Kong e África do Sul.
O crescente volume de ataques cibernéticos por grupos APT apoiados pelo estado e sua crescente sofisticação requerem ultra-responsividade dos defensores cibernéticos. Navegue por socprime.com para procurar regras Sigma contra ameaças atuais e emergentes, incluindo malware que afeta usuários de criptomoedas, e acesse mais de 9.000 ideias para Engenharia de Detecção e Caça a Ameaças, juntamente com um contexto abrangente de ameaças cibernéticas. Ou faça upgrade para On Demand como parte do nosso oferta Cyber Monday válida até 31 de dezembro, e obtenha até 200 regras Sigma premium de sua escolha, além do conjunto de detecção disponível no pacote escolhido.
