Η ιρανική ομάδα hacking Agrius APT χρησιμοποιεί το νέο data wiper «Fantasy» σε επιθέσεις supply-chain που επηρεάζουν οργανισμούς σε Ισραήλ, Χονγκ Κονγκ και Νότια Αφρική.
Δείτε επίσης: Γιατί οι διακοπές είναι η καλύτερη περίοδος για τους απατεώνες;
Η εκστρατεία κυβερνοεγκλήματος ξεκίνησε τον Φεβρουάριο του 2022 και έφτασε στο peak της τον επόμενο μήνα, θέτοντας σε κίνδυνο μια εταιρεία υπηρεσιών υποστήριξης IT, έναν χονδρέμπορο διαμαντιών, έναν κοσμηματοπώλη και μια εταιρεία παροχής συμβουλών ανθρώπινου δυναμικού.
Η ομάδα Agrius χρησιμοποίησε έναν νέο wiper, τον οποίο ονόμασε “Fantasy”, ο οποίος ήταν κρυμμένος μέσα σε μια σουίτα λογισμικού που δημιουργήθηκε από έναν ισραηλινό προμηθευτή. Το συγκεκριμένο λογισμικό χρησιμοποιείται συνήθως στις βιομηχανίες διαμαντιών.
Οι αναλυτές της ESET ανακάλυψαν ότι ο νέος wiper ‘Fantasy’ είναι μια εξέλιξη του παλαιότερου wiper ‘Apostle’, ο οποίος χρησιμοποιήθηκε σε προηγούμενες εκστρατείες.
Τα wipers είναι μια κατηγορία κακόβουλου λογισμικού που στοχεύει σε κρίσιμα δεδομένα σε υπολογιστές που έχουν παραβιαστεί, προκαλώντας καταστροφή και διακόπτοντας την λειτουργία των επιχειρήσεων.
Συντονισμένες επιθέσεις
Στις 20 Φεβρουαρίου 2022, η Agrius APT (Advanced Persistent Threat) παραβίασε έναν νοτιοαφρικανικό οργανισμό της βιομηχανίας διαμαντιών, ρίχνοντας στο δίκτυό του μηχανισμούς credential harvesters, όπως το MiniDump και το SecretsDump, για να κλέψει account credentials.
Οι χάκερ χρησιμοποίησαν τα κλεμμένα credentials για να αποκτήσουν πρόσβαση σε άλλα τμήματα του δικτύου και πιθανώς να συλλέξουν πληροφορίες.
Στις 12 Μαρτίου 2022, η Argius χρησιμοποίησε το Host2IP και ένα νέο εργαλείο με την ονομασία “Sandals” για να εξαπλώσει το Fantasy wiper σε όποιες συσκευές μπορούσε.
Δείτε επίσης: Galaxy S22: Το χάκαραν δυο φορές την πρώτη μέρα του Pwn2Own
Το Sandals είναι ένα Windows executable που επιτρέπει τη σύνδεση με συστήματα στο ίδιο δίκτυο μέσω SMB. Αυτό το batch file που εκτελείται μέσω του PsExec θα εκκινήσει τον wiper Fantasy.
Την ίδια ημέρα του Μαρτίου, και εντός χρονικού πλαισίου 2,5 ωρών, οι επιτιθέμενοι ανέπτυξαν και τα τέσσερα αναφερόμενα εργαλεία εναντίον ισραηλινών στόχων και μιας εταιρείας στο Χονγκ Κονγκ.
Όλοι οι πελάτες του προγραμματιστή λογισμικού δέχθηκαν επίθεση, αλλά ο προγραμματιστής αντιλήφθηκε γρήγορα το πρόβλημα και έστειλε καθαρές ενημερώσεις μέσα σε λίγες ώρες.
Το ‘Fantasy’ wiper
Ο data wiper Fantasy είναι ένα εκτελέσιμο πρόγραμμα 32-bit των Windows (‘fantasy45.exe’ και ‘fantasy35.exe’). Αφού το ανοίξετε, το πρόγραμμα θα εμφανίσει μια λίστα με όλους τους drives και τα τα directories τους εκτός από το φάκελο των Windows (τον οποίο παραλείπει), καθώς και όλα τα αρχεία σε κάθε κατάλογο.
Το Fantasy αντικαθιστά το περιεχόμενο κάθε αρχείου με τυχαία δεδομένα, θέτει τα timestamps στις 31 Δεκεμβρίου 2037 και στη συνέχεια το διαγράφει. Ο στόχος είναι να καταστήσει αυτά τα αρχεία μη ανακτήσιμα με οποιονδήποτε τρόπο.
Στη συνέχεια, το Fantasy διαγράφει τα κλειδιά μητρώου στο HKCR, διαγράφει όλα τα WinEventLogs, διαγράφει το φάκελο SystemDrive των Windows και, στη συνέχεια, εισέρχεται σε κατάσταση αναμονής δύο λεπτών.
Τέλος, ο wiper διαγράφει το master boot record, πριν αντικαταστήσει τον εαυτό του και επανεκκινήσει το σύστημα 30 δευτερόλεπτα αργότερα.
Δείτε επίσης: Πως λειτουργεί το νέο Zerobot malware;
Ωστόσο, παρόλο που επρόκειτο για καταστροφικές επιθέσεις, η ESET λέει ότι τα θύματα θα μπορούσαν να επανέλθουν σε λειτουργία μέσα σε λίγες ώρες.
Η ESET σημείωσε ότι ενώ υπάρχει μεγάλη ομοιότητα κώδικα μεταξύ του Apostle και του Fantasy, το τελευταίο λειτουργεί μόνο ως wiper χωρίς δυνατότητες κρυπτογράφησης δεδομένων. Επιπλέον, δεν δημιουργεί σημειώματα λύτρων.
Πηγή πληροφοριών: bleepingcomputer.com
