Le groupe APT Agrius, aligné sur l’Iran et connu pour ses opérations destructrices, utilise un nouveau logiciel malveillant d’effacement de données, baptisé Fantasy, dans ses dernières attaques de la chaîne d’approvisionnement contre des organisations en Israël, à Hong Kong et en Afrique du Sud.
Les cibles des attaques d’Agrius
Selon les chercheurs d’ESET, en février, Agrius a commencé à cibler des sociétés israéliennes de conseil en RH et en informatique ainsi que les utilisateurs d’une suite logicielle israélienne, couramment utilisée dans l’industrie du diamant.
- Le groupe a été observé en train de lancer des outils de récolte d’informations d’identification sur un réseau de développeurs de logiciels israéliens, probablement en vue de déployer Fantasy avec l’outil d’exécution wiper Sandals.
- Les attaquants ont attendu environ un mois pour lancer les attaques par effacement de données.
- Par la suite, ils ont lancé des attaques contre une organisation sud-africaine travaillant dans l’industrie du diamant, des organisations israéliennes et un bijoutier à Hong Kong.
Arsenal et comportement d’Agrius
- Outre les logiciels malveillants susmentionnés, Agrius déploie plusieurs outils tels que MiniDump, SecretsDump et Host2IP pour cibler les systèmes des victimes.
- Ces outils recueillent les noms d’utilisateur, les mots de passe et les noms d’hôte nécessaires pour que Sandals réussisse à se propager et à exécuter l’essuie-données Fantasy.
- Après avoir détruit les données, le wiper se supprime du système et redémarre le système. Selon les experts, la récupération est possible avec des outils de récupération de données.
- Les opérateurs utilisent l’outil PsExec pour se fondre dans l’activité administrative des systèmes des victimes et pour faciliter l’exécution des fichiers batch.
Alors que la plupart des wipers se déguisent en ransomware, Fantasy ne génère pas de fausses notes de rançon et ne prétend pas crypter les données ; il démontre clairement sa nature destructrice.
Incidents récents d’effacement de données
- Récemment, sous l’apparence d’un ransomware, CryWiper, un malware de suppression de données, a été découvert en train de cibler les mairies et les tribunaux de Russie.
- Le mois dernier, on a constaté que Azov Ransomware circulait via des logiciels piratés, des paquets de logiciels publicitaires et des générateurs de clés dans le cadre de ses opérations d’effacement de données.
- En août, les chercheurs de Fortinet ont découvert que plusieurs variantes de wiper ciblaient des organisations privées, gouvernementales et militaires en Ukraine et dans d’autres pays.
Conclusion
La majeure partie du code de Fantasy data wiper est basée sur Apostle wiper, le précédent outil malveillant wiper d’Agrius. La réutilisation du code et le développement d’un nouvel outil d’exécution indiquent que le groupe se prépare à lancer des opérations plus destructrices contre des organisations de premier plan à l’avenir. Il est recommandé aux organisations de conserver régulièrement une sauvegarde de leurs données essentielles afin de se prémunir contre la menace croissante des cyberattaques.
