Los piratas informáticos presuntamente conectados con el gobierno iraní han sido acusados de apuntar a empresas de diamantes en Sudáfrica, Israel y Hong Kong con un malware de limpieza creado para destruir datos.
Los investigadores de ESET atribuyeron la herramienta de limpieza, llamada Fantasy, al grupo Agrius APT, que otros investigadores han indicado que tiene vínculos con el gobierno de Irán . ESET dijo que el grupo es un grupo más nuevo alineado con Irán que se enfoca en víctimas principalmente en Israel y los Emiratos Árabes Unidos desde 2020.
Su última campaña comenzó en febrero de 2022 y se ha dirigido a firmas de consultoría de TI y recursos humanos israelíes, así como a usuarios de un paquete de software israelí utilizado en la industria del diamante.
“Creemos que los operadores de Agrius realizaron un ataque a la cadena de suministro abusando del desarrollador de software israelí para implementar su nuevo limpiaparabrisas, Fantasy, y una nueva herramienta de movimiento lateral y ejecución de Fantasy, Sandals”, dijeron los investigadores.
La campaña comenzó el 20 de febrero, cuando el grupo usó herramientas de recolección de credenciales en una empresa sudafricana no identificada en la industria del diamante. Se robaron nombres de usuario, contraseñas y nombres de host durante esta fase de la campaña.
El 12 de marzo, el grupo lanzó el limpiador Fantasy en la empresa sudafricana y en las empresas israelíes. Un joyero en Hong Kong también fue atacado con el limpiaparabrisas.
ESET dijo que la campaña duró menos de tres horas y que pudieron bloquear el limpiaparabrisas para que no destruyera los datos. Los investigadores descubrieron que el limpiador Fantasy se implementa a través de un ataque a la cadena de suministro que explota el mecanismo de actualización de software de un desarrollador de software desconocido.
“Observamos que el desarrollador de software lanzó actualizaciones limpias en cuestión de horas después del ataque. Nos comunicamos con el desarrollador de software para notificarles sobre un posible compromiso, pero nuestras consultas no recibieron respuesta”, dijeron los investigadores.
ESET hizo su evaluación de que el limpiador estaba vinculado a un mecanismo de actualización de software porque todas las víctimas eran clientes del desarrollador de software afectado y el limpiador se nombró de una manera que se asemejaba a las versiones legítimas del software.
Como la mayoría de los grupos de piratería, Agrius explota las vulnerabilidades conocidas en las aplicaciones orientadas a Internet para moverse lateralmente por una red antes de implementar su malware de limpieza.
El análisis de la herramienta del limpiaparabrisas reveló que está construida sobre la parte posterior del limpiaparabrisas Apóstol, otra herramienta que el grupo usó en los últimos años y que se hizo pasar por ransomware.
La empresa de ciberseguridad Sentinel Labs publicó un informe el año pasado que examinaba el ransomware Apóstol y descubrió que, en cambio, era simplemente un limpiador que destruía los datos y no los retenía como rehenes.
El limpiador Fantasy abandona las trampas de ransomware de Apostle y “se pone a trabajar limpiando datos”, según ESET, que señaló que gran parte del código base de Fantasy proviene directamente de Apostle con solo algunos pequeños ajustes.
“Desde su descubrimiento en 2021, Agrius se ha centrado únicamente en operaciones destructivas. Con ese fin, los operadores de Agrius probablemente ejecutaron un ataque a la cadena de suministro al apuntar a los mecanismos de actualización de software de una compañía de software israelí para implementar Fantasy, su limpiaparabrisas más nuevo, a las víctimas en Israel, Hong Kong y Sudáfrica”, dijeron los investigadores.
“Fantasy es similar en muchos aspectos al limpiador anterior de Agrius, Apostle, que inicialmente se hizo pasar por un ransomware antes de ser reescrito para convertirse en un ransomware real. Fantasy no hace ningún esfuerzo por disfrazarse de ransomware”.
Los grupos de piratería vinculados a Irán tienen un largo historial de implementación de borradores de datos y ocultación de ataques de borrado de datos como ransomware. Los casos anteriores incluyen el malware Shamoon , ZeroClare y Dustman .
Fuente: therecord.media
