İran Agrius Apt Hacking Group, İsrail, Hong Kong ve Güney Afrika'daki organizasyonları etkileyen tedarik zinciri saldırılarında yeni bir 'fantezi' veri silecek kullanıyor.
Kampanya Şubat ayında başladı ve Mart 2022'de tam ölçekte açıldı ve bir BT destek hizmetleri firmasını, elmas toptancı, bir kuyumcu ve bir İK danışmanlık şirketini ihlal etti.
Bu kampanyada Agrius, bir İsrail satıcısı tarafından oluşturulan bir yazılım paketinin içinde gizlenmiş 'Fantasy' adlı yeni bir silecek kullandı. Bu yazılım, elmas endüstrisinde yaygın olarak kullanılır.
ESET analistlerine göre, 'Fantasy', tehdit oyuncunun önceki kampanyalarda kullandığı 'Havari' silecekinin bir evrimidir.
Silecekler, ihlal edilen bilgisayarlarda verileri silmeyi ve dijital yıkım ve iş kesintisine neden olan bir kötü amaçlı yazılım kategorisidir.
Agrius Apt (İleri Dikkatli Tehdit), 20 Şubat 2022'de elmas endüstrisinde bir Güney Afrika organizasyonunu ihlal etti ve hesap kimlik bilgilerini çalmak için ağında Minidump ve Secretsdump gibi kimlik bilgisi hasatçılarını bıraktı.
Bilgisayar korsanları, ihlal edilen ağa daha da yayılmak için çalınan kimlik bilgilerinden yararlandı, muhtemelen bilgi topladı ve diğer sistemlere erişim elde etti.
12 Mart 2022'de Argius, Fantasy Silecek'i erişilebilir cihazlara yaymak için Host2IP ve 'Sandalet' adlı yeni bir aracı dağıttı.
Sandals, SMB aracılığıyla aynı ağdaki sistemlere bağlanan ve fantezi silecekini başlatmak için Psexec aracılığıyla yürütülen bir toplu dosya yazan bir Windows yürütülebilir dosyasıdır.
Aynı gün Mart ayında ve 2,5 saatlik bir zaman dilimi içinde, saldırganlar belirtilen dört aracı da İsrail hedeflerine ve Hong Kong'daki bir şirkete yönlendirdi.
Saldırı yapılan tüm şirketler, ESET'e göre sorunu hemen fark eden ve saatler içinde temiz güncellemeleri zorlayan etkilenen yazılım geliştiricisinin müşterileriydi.
Fantasy veri silecek 32 bit Windows yürütülebilir ('fantasy45.exe' ve 'fantasy35.exe'). Yürütme üzerine, atlanan Windows klasörü ve her dizindeki tüm dosyalar hariç tüm sürücülerin ve dizinlerinin bir listesini alır.
Fantasy, her dosyanın içeriğinin rastgele verilerle üzerine yazılır, zaman damgalarını gece yarısı 2037'ye ayarlar ve siler. Bu işlem, dosyaların veri kurtarma araçlarıyla kurtarılmasını önlemeye çalışır.
Ardından, Fantasy HKCR'deki kayıt defteri anahtarlarını siler, tüm WineVentlog'ları temizler, Windows SystemDrive klasörünü siler ve ardından iki dakikalık bir uykuya girer.
Son olarak, silecek ana önyükleme kaydının üzerine yazar, kendini siler ve 30 saniyelik bir gecikmeden sonra sistemi yeniden başlatır.
Bununla birlikte, bunlar yıkıcı saldırılar olmasına rağmen, ESET kurbanların saatlerce geri dönüp koşabileceğini söylüyor.
ESET, " % SystemDrive % iyileşme mümkün olması muhtemeldir. Mağdurların birkaç saat içinde geri dönüp çalıştırıldıkları gözlendi."
ESET, havari ve fantezi arasında kapsamlı kod örtüşmesine rağmen, ikincisinin tamamen bir silecek olduğunu, herhangi bir veri şifreleme özellikine sahip olmadığını ve fidye notları oluşturmadığını söylüyor.
Yeni Crywiper veri silecek, Belediye Başkanının Ofisleri Rus mahkemelerini hedefliyor
MSP Uzaktan Erişim Aracı Göndermek İçin Kullanılan Hacked Kurumsal E -posta Hesapları
Hackerlar, durdurulan web sunucusundaki hatalar aracılığıyla enerji orgs'u ihlal ediyor
ABD Hükümeti: İranlı korsanlar Log4shell istismarını kullanarak federal ajansı ihlal etti
Azov fidye yazılımı, bir seferde 666 bayt veriyi yok eden bir silecek.
Kaynak: Bleeping Computer