Fantasy Wiper IOCs

security IOC

Исследователи ESET обнаружили новый wiper и инструмент его исполнения, приписываемые APT-группе Agrius, при анализе атаки по цепочке поставок, использующей израильского разработчика программного обеспечения. Группа известна своими разрушительными операциями.

В феврале 2022 года Agrius начала атаковать израильские кадровые и ИТ-консалтинговые компании, а также пользователей израильского программного пакета, используемого в алмазной промышленности. Мы считаем, что операторы Agrius провели атаку по цепочке поставок, используя израильского разработчика программного обеспечения для внедрения своего нового чистильщика Fantasy и нового инструмента бокового перемещения и исполнения Fantasy - Sandals.

Випер Fantasy построен на фундаменте ранее представленного випера Apostle, но не пытается маскироваться под ransomware, как это делал Apostle. Вместо этого он сразу приступает к работе, уничтожая данные. Жертвы были замечены в Южной Африке (где разведка началась за несколько недель до появления Fantasy), Израиле и Гонконге.

  • Agrius провела атаку на цепочку поставок, используя израильский программный пакет, используемый в алмазной промышленности.
  • Затем группа развернула новый випер, который мы назвали Fantasy. Большая часть его кодовой базы взята из Apostle, предыдущего вайпера Agrius.
  • Наряду с Fantasy, Agrius также развернул новый инструмент бокового перемещения и исполнения Fantasy, который мы назвали Sandals.
  • Жертвами стали израильские HR-фирмы, IT-консалтинговые компании и оптовый торговец бриллиантами; южноафриканская организация, работающая в алмазной промышленности; и ювелир в Гонконге.

Indicators of Compromise

SHA1

  • 1a62031bbb2c3f55d44f59917fd32e4ed2041224
  • 1aae62acee3c04a6728f9edc3756fabd6e342252
  • 3228e6bc8c738781176e65ebbc0eb52020a44866
  • 5485c627922a71b04d4c78fbc25985cdb163313b
  • 820ad7e30b4c54692d07b29361aecd0bb14df3be
  • b3b1edd6b80af0cdadadd1ee1448056e6e1b3274
  • db11cbffe30e0094d6de48259c5a919c1eb57108
SEC-1275-1
Добавить комментарий