Actu
ESET Research : une nouvelle attaque par “wiper” menée par le groupe Agrius, affilié à l’Iran et visant l’industrie du diamant
décembre 2022 par ESET
Les chercheurs d’ESET ont découvert un nouvel effaceur (wiper) et son outil d’exécution, tous deux attribués au groupe de pirates Agrius affilié à l’Iran. Ces opérateurs malveillants ont mené une attaque dite par chaîne d’approvisionnement en détournement le logiciel d’un éditeur israélien pour déployer Fantasy, leur nouvel effaceur (wiper), et Sandals, un nouvel outil de mouvement latéral et d’exécution de Fantasy. La suite logicielle détournée est d’origine israélienne, celle-ci est utilisée dans l’industrie du diamant. En février 2022, Agrius a débuté par cibler une entreprise israélienne de Ressources Humaines, un grossiste en diamants et une société de conseil en informatique. Le groupe est connu pour ses activités destructrices. Des victimes ont également été observées en Afrique du Sud et à Hong Kong.
“La campagne a duré moins de trois heures, et durant ce laps de temps, les clients d’ESET étaient déjà protégés à l’aide de détections identifiant Fantasy comme effaceur et bloquant son exécution. Nous avons constaté que le développeur du logiciel utilisé pour l’attaque a diffusé de nouvelles mises à jour dans les heures qui ont suivi l’attaque,” a déclaré Adam Burgher, Senior Threat Intelligence Analyst chez ESET. “Nous avons contacté le développeur du logiciel pour l’informer d’une brèche de sécurité potentielle, mais nous n’avons reçu aucune réponse en retour.”
“Le 20 février 2022, Agrius a déployé des outils de récolte d’identifiants dans une entreprise de l’industrie du diamant en Afrique du Sud, probablement en préparation de cette campagne. Puis le 12 mars 2022, Agrius a lancé son attaque en déployant les malwares Fantasy et Sandals, d’abord auprès de la victime en Afrique du Sud, puis auprès de victimes en Israël, et enfin auprès d’une victime à Hong Kong,” poursuit M. Burgher.
L’effaceur Fantasy supprime soit tous les fichiers sur le disque, soit tous les fichiers dont les extensions figurent sur une liste en comportant 682, notamment celles des fichiers des applications Microsoft 365 telles que Microsoft Word, Microsoft PowerPoint et Microsoft Excel, et des formats de fichiers vidéo, audio et images usuelles. Même si le malware prend des mesures pour empêcher la récupération des fichiers et limiter le succès d’une enquête forensic d’aboutir, il est probable que la récupération du disque du système d’exploitation Windows soit possible. Les victimes étaient de nouveau opérationnelles en quelques heures.
Agrius est un groupe relativement récent, affilié à l’Iran, qui cible des victimes en Israël et aux Émirats arabes unis depuis 2020. Le groupe a initialement déployé Apostle, un effaceur déguisé en ransomware, mais l’a ensuite modifié pour en faire un ransomware à part entière. Agrius exploite les vulnérabilités connues des applications Internet pour installer des webshells, puis effectue une reconnaissance interne avant d’effectuer des mouvements latéraux et déployer ses malwares.
Depuis sa découverte en 2021, Agrius s’est concentré uniquement sur des opérations de destruction. Fantasy est similaire à bien des égards au précédent effaceur Apostle, à la différence cependant qu’il ne fait aucun effort pour se déguiser en ransomware. Il n’y a que quelques petites modifications entre la plupart des fonctions d’origine d’Apostle et l’implémentation de Fantasy.
Chronologie et localisation des victimes
