- Agrius a mené une attaque dite par chaîne d’approvisionnement en détournant une suite logicielle israélienne utilisée dans l’industrie du diamant.
- Agrius est un groupe de pirates relativement récent, qui est affilié à l’Iran et qui se concentre uniquement sur des opérations de destruction.
- Le groupe a déployé un (wiper) effaceur que nous avons baptisé Fantasy. La majeure partie de son code provient d’Apostle, le précédent Wiper d’Agrius.
- Parallèlement à Fantasy, Agrius a également déployé un nouvel outil de mouvement latéral et d’exécution de Fantasy que nous avons nommé Sandals.
- Parmi les victimes figurent des entreprises israéliennes de RH, de conseil en informatique et un grossiste en diamants, une entreprise sud-africaine travaillant dans l’industrie du diamant et un bijoutier de Hong Kong.
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert un nouvel effaceur (wiper) et son outil d’exécution, tous deux attribués au groupe de pirates Agrius affilié à l’Iran. Ces opérateurs malveillants ont mené une attaque dite par chaîne d’approvisionnement en détournement le logiciel d’un éditeur israélien pour déployer Fantasy, leur nouvel effaceur (wiper), et Sandals, un nouvel outil de mouvement latéral et d’exécution de Fantasy. La suite logicielle détournée est d’origine israélienne, celle-ci est utilisée dans l’industrie du diamant. En février 2022, Agrius a débuté par cibler une entreprise israélienne de Ressources Humaines, un grossiste en diamants et une société de conseil en informatique. Le groupe est connu pour ses activités destructrices. Des victimes ont également été observées en Afrique du Sud et à Hong Kong.
« La campagne a duré moins de trois heures, et durant ce laps de temps, les clients d’ESET étaient déjà protégés à l’aide de détections identifiant Fantasy comme effaceur et bloquant son exécution. Nous avons constaté que le développeur du logiciel utilisé pour l’attaque a diffusé de nouvelles mises à jour dans les heures qui ont suivi l’attaque, » a déclaré Adam Burgher, Senior Threat Intelligence Analyst chez ESET. Nous avons contacté le développeur du logiciel pour l’informer d’une brèche de sécurité potentielle, mais nous n’avons reçu aucune réponse en retour.
« Le 20 février 2022, Agrius a déployé des outils de récolte d’identifiants dans une entreprise de l’industrie du diamant en Afrique du Sud, probablement en préparation de cette campagne. Puis le 12 mars 2022, Agrius a lancé son attaque en déployant les malwares Fantasy et Sandals, d’abord auprès de la victime en Afrique du Sud, puis auprès de victimes en Israël, et enfin auprès d’une victime à Hong Kong, » poursuit M. Burgher.
L’effaceur Fantasy supprime soit tous les fichiers sur le disque, soit tous les fichiers dont les extensions figurent sur une liste en comportant 682, notamment celles des fichiers des applications Microsoft 365 telles que Microsoft Word, Microsoft PowerPoint et Microsoft Excel, et des formats de fichiers vidéo, audio et image usuels. Même si le malware prend des mesures pour empêcher la récupération des fichiers et limiter le succès d’une enquête forensic d’aboutir, il est probable que la récupération du disque du système d’exploitation Windows soit possible. Les victimes étaient de nouveau opérationnelles en quelques heures.
Agrius est un groupe relativement récent, affilié à l’Iran, qui cible des victimes en Israël et aux Émirats arabes unis depuis 2020. Le groupe a initialement déployé Apostle, un effaceur déguisé en ransomware, mais l’a ensuite modifié pour en faire un ransomware à part entière. Agrius exploite les vulnérabilités connues des applications Internet pour installer des webshells, puis effectue une reconnaissance interne avant d’effectuer des mouvements latéraux et déployer ses malwares.
Depuis sa découverte en 2021, Agrius s’est concentré uniquement sur des opérations de destruction. Fantasy est similaire à bien des égards au précédent effaceur Apostle, à la différence cependant qu’il ne fait aucun effort pour se déguiser en ransomware. Il n’y a que quelques petites modifications entre la plupart des fonctions d’origine d’Apostle et l’implémentation de Fantasy.
Pour plus d’informations techniques sur l’effaceur Fantasy d’Agrius, consultez l’article « Fantasy – a new Agrius wiper deployed through a supply-chain attack » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Chronologie et localisation des victimes
Darina SANTAMARIA - +33 01 55 89 08 88 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.