ESET-onderzoekers hebben een nieuwe wiper met bijbehorende implementatietool ontdekt. Beide worden toegeschreven aan de Agrius APT-groep, die gelieerd is aan Iran. De aanvallers voerden een supply chain-aanval uit door een Israëlische softwareontwikkelaar te misbruiken om hun nieuwe wiper, Fantasy, en een bijbehorende tool voor verplaatsing in het netwerk en de implementatie van Fantasy, genaamd ‘Sandals’, in te zetten.
De misbruikte Israëlische softwarepakket wordt gebruikt in de diamantindustrie en in februari 2022 begon Agrius een Israëlisch HR-bedrijf, een diamantgroothandelaar en een IT-adviesbureau aan te vallen. Ook in Zuid-Afrika en Hong Kong bedrijven getroffen.
“De campagne duurde minder dan drie uur. Binnen dat tijdsbestek waren ESET-klanten al beschermd met detecties, die Fantasy herkenden als wiper en de uitvoer ervan blokkeerden. We zagen dat de Israëlische softwareontwikkelaar binnen enkele uren na de aanval updates uitbracht”, zegt Adam Burgher, Senior Threat Intelligence Analyst bij ESET. ESET nam contact op met de softwareontwikkelaar om hen te informeren over mogelijk misbruik van hun software, maar de vragen bleven onbeantwoord.
“Op 20 februari 2022 werden bij een organisatie in de diamantindustrie in Zuid-Afrika Agriustools ingezet voor het stelen van inloggegevens, waarschijnlijk ter voorbereiding van deze campagne. Daarna, op 12 maart 2022, lanceerde Agrius de wipe-aanval door Fantasy en Sandals in te zetten. Dit deden zij eerst bij het slachtoffer in Zuid-Afrika, daarna bij slachtoffers in Israël en als laatste bij een slachtoffer in Hong Kong,” stelt Burgher.
Fantasy wist ofwel alle bestanden op de schijf of wist alle bestanden met extensies op een lijst van 682 extensies, waaronder bestandsnaamextensies voor Microsoft 365-toepassingen zoals Microsoft Word, PowerPoint en Excel, en voor veelvoorkomende video-, audio- en afbeeldingsbestandsformaten. Hoewel de malware stappen onderneemt om herstel en forensische analyse te bemoeilijken, is het waarschijnlijk dat herstel van het Windows besturingssysteemmogelijk is. Slachtoffers konden namelijk binnen enkele uren weer aan de slag.
Agrius is een relatief nieuwe Iraanse groep die zich sinds 2020 richt op doelwitten in Israël en de Verenigde Arabische Emiraten. De groep zette aanvankelijk een wiper, Apostle, vermomd als ransomware in, maar veranderde Apostle later in volwaardige ransomware. Agrius maakt gebruik van bekende kwetsbaarheden in op het internet gerichte toepassingen om webshells te installeren, voert vervolgens interne verkenningen uit.
De volgende stappen zijn het zich horizontaal verplaatsen in het netwerk en schadelijke payloads inzetten. Sinds zijn ontdekking in 2021 heeft Agrius zich uitsluitend gericht op operaties die schade aanrichten. Fantasy lijkt in veel opzichten op de vorige Agrius ransomware. Fantasy doet echter geen moeite om zich te vermommen als ransomware. Er zijn slechts een paar kleine aanpassingen tussen veel van de oorspronkelijke functies in Apostle en de implementatie van Fantasy.
