Компанія ESET — лідер у галузі інформаційної безпеки — виявила кібератаки за допомогою нових шкідливих інструментів, які пов’язані з іранською APT-групою Agrius. Кіберзлочинці здійснили атаку на ланцюг постачання, несанкціоновано використовуючи легітимне програмне забезпечення для розгортання програми Fantasy для знищення даних та інструменту Sandals для її виконання.
У лютому 2022 року група кіберзлочинців Agrius почала атаки на HR-компанію, оптового продавця алмазів та ІТ-консалтингову організацію в Ізраїлі. Також були зафіксовані жертви в Південній Африці та Гонконзі. Загалом зловмисники відомі своєю руйнівною діяльністю.
«Атака тривала менше трьох годин, і протягом цього часу продукти ESET виявили та ідентифікували Fantasy як програму для знищення даних та блокували її виконання, захистивши користувачів. Ми виявили, як розробник програмного забезпечення випускає чисті оновлення протягом кількох годин після атаки», — коментує Адам Бергер, старший аналітик ESET.
Компанія ESET зв’язалася з розробником програмного забезпечення, щоб повідомити його про потенційну компрометацію, але запити залишилися без відповіді.
«20 лютого 2022 року в організації алмазної промисловості у Південній Африці кіберзлочинці розгорнули інструменти для збору облікових даних, ймовірно, під час підготовки до цієї атаки. Потім 12 березня група Agrius розпочала атаку очищення, застосувавши Fantasy та Sandals спочатку до жертви в Південній Африці, потім в Ізраїлі та Гонконгу», — уточнює старший аналітик ESET.
Програма Fantasy для знищення даних стирає всі файли на диску або всі файли з розширеннями, зокрема розширення імен файлів для програм Microsoft Word, Microsoft PowerPoint та Microsoft Excel, а також для поширених форматів відео, аудіо та зображень.
Незважаючи на те, що шкідливе програмне забезпечення намагається ускладнити відновлення та аналіз, ймовірно, відновлення диска операційної системи Windows можливе. Відновлення роботи жертв було зафіксовано протягом кількох годин.
Варто зазначити, що нова група Agrius, пов’язана з Іраном, з 2020 року націлена на жертв в Ізраїлі та Об’єднаних Арабських Еміратах. Спочатку зловмисники розгорнули загрозу Apostle, замасковану під програму-вимагач, але пізніше модифікували її на повноцінну програму-вимагач. Кіберзлочинці використовують відомі уразливості в Інтернет-додатках для встановлення вебшелів, потім проводять внутрішню розвідку та згодом розгортають шкідливі компоненти.
З моменту виявлення у 2021 році група Agrius зосередилася виключно на руйнівних операціях. Загроза Fantasy схожа на попередню програму Apostle для знищення даних. Однак Fantasy не маскується під програму-вимагач.
Для протидії атакам APT-груп компаніям важливо підвищувати рівень обізнаності своїх співробітників щодо основних правил безпеки та створити багаторівневу систему кіберзахисту. Зокрема організаціям вже зараз слід забезпечити всебічний захист робочих станцій, розширений аналіз загроз, виявлення та реагування, а також запобігання втраті конфіденційних даних.