Onderzoekers van ESET ontdekten een nieuwe wiper en zijn uitvoeringstool, beide toegeschreven aan de aan Iran gelinkte Agrius APT-groep. De malware-operatoren voerden een supply-chain-aanval uit waarbij ze een Israëlische softwareontwikkelaar misbruikten om Fantasy, hun nieuwe wiper, en Sandals, een nieuwe laterale beweging en Fantasy-uitvoeringstool, in te zetten. De misbruikte Israëlische softwaresuite wordt in de diamantsector gebruikt. In februari 2022 begon Agrius zich te richten op een Israëlisch HR-bedrijf, een diamantgroothand en een IT-consultancy. De groep staat bekend om zijn destructieve activiteiten. In Zuid-Afrika en Hong Kong zijn eveneens slachtoffers gevonden.
· Agrius voerde een aanval uit op de supply-chain waarbij een Israëlische softwaresuite, gebruikt in de diamantsector misbruikt werd.
· Agrius is een nieuwe, aan Iran gelinkte APT-groep, die zich uitsluitend richt op destructieve acties.
· De groep heeft dan een nieuwe wiper ingezet, die ESET Fantasy noemde. Het grootste deel van zijn codebasis is afkomstig van Apostle, de vorige wiper van Agrius.
· Naast Fantasy gebruikte Agrius ook een nieuwe tool voor zijwaartse beweging en Fantasy-uitvoering, door ESET Sandals genoemd.
· Slachtoffers zijn Israëlische HR-bedrijven, IT-consultancies-bedrijven en een amantgroothandel; een Zuid-Afrikaans bedrijf in de diamantsector en een juwelier in Hong Kong.
BRATISLAVA, MONTREAL, 8 december 2022 — Onderzoekers van ESET ontdekten een nieuwe wiper en zijn uitvoeringstool, beide toegeschreven aan de aan Iran gelinkte Agrius APT-groep. De malware-operatoren voerden een supply-chain-aanval uit waarbij ze een Israëlische softwareontwikkelaar misbruikten om Fantasy, hun nieuwe wiper, en Sandals, een nieuwe laterale beweging en Fantasy-uitvoeringstool, in te zetten. De misbruikte Israëlische softwaresuite wordt in de diamantsector gebruikt. In februari 2022 begon Agrius zich te richten op een Israëlisch HR-bedrijf, een diamantgroothand en een IT-consultancy. De groep staat bekend om zijn destructieve activiteiten. In Zuid-Afrika en Hong Kong zijn eveneens slachtoffers gevonden.
“De campagne duurde minder dan drie uur en in die tijdspanne waren ESET-klanten al beschermd dankzij detecties die Fantasy identificeerden als een wiper en de uitvoering ervan blokkeerden. We zagen hoe de softwareontwikkelaar enkele uren na de aanval al schone updates uitbracht”, zegt Adam Burgher, ESET Senior Threat Intelligence Analyst. ESET contacteerde de softwareontwikkelaar om die op de hoogte te brengen van een mogelijk compromis, maar dit contact bleef onbeantwoord.
“Op 20 februari 2022 heeft Agrius in een bedrijf uit de diamantsector in Zuid-Afrika tools voor het verzamelen van referenties ingezet, wellicht om deze campagne voor te bereiden. Op 12 maart 2022, lanceerde Agrius de wiperaanval door Fantasy en Sandals in te zetten, eerst bij het slachtoffer in Zuid-Afrika, vervolgens in Israël en ten slotte in Hong Kong”, legt Burgher uit.
Fantasy wist alle bestanden op schijf of met extensies in een lijst met 682 extensies, inclusief bestandsnaamextensies voor Microsoft 365-toepassingen zoals Word, PowerPoint en Excel, alsook video-, audio- en afbeeldingbestanden van standaard formaat. Hoewel de malware stappen onderneemt om herstel en forensische analyse moeilijker te maken, is herstel van het Windows-besturingssysteem waarschijnlijk mogelijk. Slachtoffers bleken binnen enkele uren weer operationeel te zijn.
Agrius is een nieuwere, aan Iran gelinkte groep die zich sinds 2020 richt op slachtoffers in Israël en de Verenigde Arabische Emiraten. De groep zette aanvankelijk Apostle in, een wiper vermomd als ransomware, maar veranderde later Apostle in volwaardige ransomware. Agrius misbruikt bekende kwetsbaarheden in internet apps om webshells te installeren, voert dan interne verkenningen uit voor het lateraal gaat bewegen en vervolgens zijn kwaadaardige payloads inzet.
Sinds zijn ontdekking, in 2021, voert Agrius uitsluitend destructieve operaties uit. Fantasy is in veel opzichten vergelijkbaar met Apostle, de vorige Agrius-wiper. Fantasy doet echter geen moeite om zich als ransomware te vermommen. Er zijn slechts een paar kleine aanpassingen tussen veel van de originele functies in Apostle en de Fantasy-implementatie.
Voor meer technische info’s over Fantasy, de wiper van Agrius, lees de blog
“Fantasy – a new Agrius wiper deployed through a supply-chain attack” op WeLiveSecurity. Volg op Twitter ook ESET Research on Twitter voor het laatste nieuws over ESET Research.