ESET Research enthüllt neuen Wiper-Angriff, der von der iranischen Tochtergesellschaft Agrius Group angeführt wird und auf die Diamantenindustrie abzielt
Agrius führte einen sogenannten Lieferkettenangriff durch, indem er eine israelische Software-Suite entführte, die in der Diamantenindustrie verwendet wird.
Agrius ist eine relativ neue Hackergruppe, die mit dem Iran verbunden ist und sich ausschließlich auf Zerstörungsoperationen konzentriert.
Die Gruppe setzte einen (Wischer-)Radierer ein, den wir Fantasy nannten. Der größte Teil des Codes stammt von Apostle, dem früheren Wiper von Agrius.
Zusammen mit Fantasy hat Agrius auch ein neues seitliches Bewegungs- und Ausführungstool für Fantasy herausgebracht, das wir Sandalen genannt haben.
Unter den Opfern sind israelische Personalunternehmen, IT-Beratungsunternehmen und ein Diamantengroßhändler, ein südafrikanisches Unternehmen, das in der Diamantenindustrie tätig ist, und ein Juwelier aus Hongkong.
Forscher von ESET, Europas führendem Herausgeber von Sicherheitslösungen, haben einen neuen Wiper und sein Ausführungstool entdeckt, die beide der mit dem Iran verbundenen Hackergruppe Agrius zugeschrieben werden. Diese böswilligen Betreiber führten einen sogenannten Hijacking-Supply-Chain-Angriff auf die Software eines israelischen Verlags durch, um Fantasy, ihren neuen Wischer, und Sandals, ein neues seitliches Bewegungs- und Ausführungstool von Fantasy, einzusetzen. Die entführte Software-Suite ist israelischen Ursprungs und wird in der Diamantenindustrie verwendet. Im Februar 2022 begann Agrius damit, ein israelisches Personalunternehmen, einen Diamantengroßhändler und ein IT-Beratungsunternehmen ins Visier zu nehmen. Die Gruppe ist bekannt für ihre destruktiven Aktivitäten. Opfer wurden auch in Südafrika und Hongkong gesehen.
„Die Kampagne dauerte weniger als drei Stunden, und während dieser Zeit waren ESET-Kunden bereits durch Erkennungen geschützt, die Fantasy als Radiergummi identifizierten und seine Ausführung blockierten. Wir haben festgestellt, dass der Entwickler der für den Angriff verwendeten Software innerhalb weniger Stunden nach dem Angriff neue Updates veröffentlicht hat“, sagte Adam Burgher, Senior Threat Intelligence Analyst bei ESET. Wir haben den Softwareentwickler kontaktiert, um ihn über eine potenzielle Sicherheitsverletzung zu informieren, aber keine Antwort erhalten.
„Am 20. Februar 2022 setzte Agrius Tools zum Sammeln von Anmeldeinformationen bei einem Unternehmen der Diamantenindustrie in Südafrika ein, wahrscheinlich in Vorbereitung auf diese Kampagne. Dann, am 12. März 2022, startete Agrius seinen Angriff, indem es Fantasy- und Sandals-Malware einsetzte, zuerst auf das Opfer in Südafrika, dann auf Opfer in Israel und schließlich auf ein Opfer in Hongkong“, fährt Herr Burgher fort.
Fantasy Eraser löscht entweder alle Dateien auf der Festplatte oder alle Dateien, deren Erweiterungen auf einer Liste von 682 stehen, einschließlich Dateien aus Microsoft 365-Anwendungen wie Microsoft Word, Microsoft PowerPoint und Microsoft Excel, und formatiert gängige Video-, Audio- und Bilddateien. Selbst wenn die Malware Maßnahmen ergreift, um die Wiederherstellung von Dateien zu verhindern und den Erfolg einer forensischen Untersuchung einzuschränken, ist es wahrscheinlich, dass die Wiederherstellung von Windows-Betriebssystemfestplatten möglich ist. Die Opfer waren innerhalb weniger Stunden wieder einsatzbereit.
Agrius ist eine relativ neue, mit dem Iran verbundene Gruppe, die es seit 2020 auf Opfer in Israel und den Vereinigten Arabischen Emiraten abgesehen hat. Die Gruppe setzte zunächst Apostle ein, einen als Ransomware getarnten Radiergummi, modifizierte ihn aber später zu einer vollwertigen Ransomware. Agrius nutzt bekannte Schwachstellen in Internetanwendungen aus, um Webshells zu installieren, führt dann eine interne Aufklärung durch, bevor es laterale Schritte unternimmt und seine Malware einsetzt.
Seit seiner Entdeckung im Jahr 2021 hat sich Agrius ausschließlich auf Zerstörungsoperationen konzentriert. Fantasy ähnelt in vielerlei Hinsicht dem vorherigen Apostle eraser, außer dass es sich nicht bemüht, sich als Ransomware zu tarnen. Es gibt nur ein paar geringfügige Änderungen zwischen den meisten Originalfunktionen von Apostle und der Fantasy-Implementierung.
Weitere technische Informationen zum Agrius Fantasy-Wischer finden Sie im Artikel „Fantasy – ein neuer Agrius-Wischer, der durch einen Angriff auf die Lieferkette eingesetzt wird“ auf WeLiveSecurity.