I ricercatori ESET hanno scoperto un nuovo wiper e il relativo strumento di esecuzione, entrambi attribuiti al gruppo APT Agrius, allineato all’Iran. Gli operatori del malware hanno condotto un attacco alla catena di approvvigionamento abusando di uno sviluppatore di software israeliano per distribuire il loro nuovo wiper, Fantasy, e un nuovo strumento di movimento laterale e di esecuzione di Fantasy, Sandals. L’abusata suite di software israeliana è utilizzata nell’industria dei diamanti e, nel febbraio 2022, Agrius ha iniziato a prendere di mira un’azienda israeliana di risorse umane, un grossista di diamanti e una società di consulenza informatica. Il gruppo è noto per le sue attività distruttive. Sono state osservate vittime anche in Sudafrica e a Hong Kong.
“La campagna è durata meno di tre ore e in questo lasso di tempo i clienti ESET erano già protetti con rilevamenti che identificavano Fantasy come un wiper e ne bloccavano l’esecuzione. Abbiamo osservato che lo sviluppatore del software ha distribuito aggiornamenti puliti nel giro di poche ore dall’attacco”, afferma Adam Burgher, Senior Threat Intelligence Analyst di ESET. ESET ha contattato lo sviluppatore del software per informarlo di una potenziale compromissione, ma le richieste sono rimaste senza risposta. “Il 20 febbraio 2022, presso un’organizzazione dell’industria dei diamanti in Sudafrica, Agrius ha distribuito strumenti di raccolta delle credenziali, probabilmente in preparazione di questa campagna. Poi, il 12 marzo 2022, Agrius ha lanciato l’attacco di cancellazione distribuendo Fantasy e Sandals, prima alla vittima in Sudafrica, poi alle vittime in Israele e infine a una vittima a Hong Kong”, spiega Burgher.
Fantasy wiper cancella tutti i file presenti sul disco o cancella tutti i file con estensioni comprese in un elenco di 682 estensioni, tra cui le estensioni dei nomi dei file per le applicazioni Microsoft 365 come Microsoft Word, Microsoft PowerPoint e Microsoft Excel e per i comuni formati di file video, audio e immagine. Anche se il malware adotta misure per rendere più difficile il recupero e l’analisi forense, è probabile che il recupero dell’unità del sistema operativo Windows sia possibile. È stato osservato che le vittime sono tornate operative nel giro di poche ore. Agrius è un gruppo allineato all’Iran che ha preso di mira le vittime in Israele e negli Emirati Arabi Uniti dal 2020. Il gruppo ha inizialmente distribuito un wiper, Apostle, camuffato da ransomware, ma in seguito ha modificato Apostle in un ransomware a tutti gli effetti. Agrius sfrutta le vulnerabilità note nelle applicazioni rivolte a Internet per installare webshell, quindi effettua una ricognizione interna prima di spostarsi lateralmente e poi distribuire i suoi payload dannosi.
Dalla sua scoperta nel 2021, Agrius si è concentrato esclusivamente su operazioni distruttive. Fantasy è simile per molti aspetti al precedente wiper Apostle. Tuttavia, Fantasy non fa alcuno sforzo per camuffarsi da ransomware. Ci sono solo alcune piccole modifiche tra molte delle funzioni originali di Apostle e l’implementazione di Fantasy.
