Les grandes entreprises de l’industrie du diamant (et quelques entreprises adjacentes) ont été frappées par un tout nouvel effaceur de données gracieuseté d’un groupe connu de menace persistante avancée (APT) basé en Iran.
Les chercheurs en cybersécurité de la branche welivesecurity d’ESET ont récemment découvert Agrius, un acteur menaçant qui a lancé une attaque de la chaîne d’approvisionnement contre un développeur de logiciels israélien et, à travers lui, un certain nombre d’entreprises de diamants sur trois continents.
Dans un rapport de recherche (s’ouvre dans un nouvel onglet), ESET a déclaré que la société israélienne était ciblée par le nouvel essuie-glace de données d’Agrios, appelé Fantasy. Cet essuie-glace est basé sur l’outil précédent d’Agrios, Apostle, mais avec des différences notables.
Construire sur l’Apôtre
« L’essuie-glace Fantasy est construit sur les fondations de l’essuie-glace Apostle précédemment signalé, mais ne tente pas de se faire passer pour un rançongiciel, comme l’a fait Apostle à l’origine », a déclaré la société. « Au lieu de cela, il se met directement au travail en effaçant les données. Des victimes ont été observées en Afrique du Sud – où la reconnaissance a commencé plusieurs semaines avant le déploiement de Fantasy – en Israël et à Hong Kong.
Les chercheurs soupçonnent Agrius d’avoir ciblé les mécanismes de mise à jour logicielle de la société israélienne, ce qui leur a permis d’infecter les terminaux. (s’ouvre dans un nouvel onglet) appartenant à ses clients – un vendeur de diamants et une société de conseil en ressources humaines en Israël, une société de diamants en Afrique du Sud et un bijoutier à Hong Kong.
L’auteur de la menace a recherché des vulnérabilités connues dans les applications accessibles sur Internet et a utilisé le pour déployer des shells Web. Cela leur a permis de maintenir la persistance sur les réseaux cibles, de se déplacer latéralement et, finalement, de livrer la charge utile malveillante.
« Depuis sa découverte en 2021, Agrius s’est uniquement concentré sur des opérations destructrices », ont expliqué les chercheurs. « Fantasy est similaire à bien des égards au précédent essuie-glace Agrius, Apostle, qui s’est initialement fait passer pour un ransomware avant d’être réécrit pour être un véritable ransomware. »
Fantasy, en revanche, « ne fait aucun effort pour se déguiser en rançongiciel. Les opérateurs Agrius ont utilisé un nouvel outil, Sandals, pour se connecter à distance aux systèmes et exécuter Fantasy.
Via : Infosecurity Magazine (s’ouvre dans un nouvel onglet)