Кибератаки иранских хакеров: какие компании под угрозой

Компания ESET — лидер в области информационной безопасности — обнаружила кибератаки с помощью новых вредоносных инструментов, связанных с иранской APT-группой Agrius. Киберпреступники совершили атаку на цепь поставок, несанкционировано используя легитимное программное обеспечение для развертывания программы Fantasy для уничтожения данных и инструмента Sandals для ее выполнения.

В феврале 2022 года группа киберпреступников Agrius начала атаки на HR-компанию, оптового продавца алмазов и ИТ-консалтинговую организацию в Израиле. Также были зафиксированы жертвы в Южной Африке и Гонконге. В целом злоумышленники известны своей разрушительной деятельностью.

Жертвами Agrius стали компании в Израиле, Южной Африке и Гонконге. ESET.

Рис.1. Хронология и местонахождение целей киберпреступников.

«Атака длилась менее трех часов, и в течение этого времени продукты ESET обнаружили и идентифицировали Fantasy как программу для уничтожения данных и блокировали ее выполнение, защитив пользователей. Мы обнаружили, как разработчик программного обеспечения выпускает чистые обновления через несколько часов после атаки», — комментирует Адам Бергер, старший аналитик ESET.

Компания ESET связалась с разработчиком программного обеспечения, чтобы сообщить ему о потенциальной компрометации, но запросы остались без ответа.

«20 февраля 2022 года в организации алмазной промышленности в Южной Африке киберпреступники развернули инструменты для сбора учетных данных, вероятно, во время подготовки к этой атаке. Затем 12 марта группа Agrius начала атаку очистки, применив Fantasy и Sandals сначала к жертве в Южной Африке, затем в Израиле и Гонконге», — уточняет старший аналитик ESET.

Программа Fantasy для уничтожения данных стирает все файлы на диске или все файлы с расширениями, в том числе расширение имен файлов для программ Microsoft Word, Microsoft PowerPoint и Microsoft Excel, а также для распространенных форматов видео, аудио и изображений.

Несмотря на то, что вредоносное программное обеспечение пытается усложнить восстановление и анализ, вероятно, восстановление диска операционной системы Windows возможно. Возобновление работы жертв было зафиксировано в течение нескольких часов.

Следует отметить, что новая группа Agrius, связанная с Ираном, с 2020 года нацелена на жертв в Израиле и Объединенных Арабских Эмиратах. Сначала злоумышленники развернули угрозу Apostle, замаскированную под программу-вымогатель, но позже модифицировали ее на полноценную программу-вымогатель. Киберпреступники используют известные уязвимости в Интернет-приложениях для установки веб-шелов, затем осуществляют внутреннюю разведку и впоследствии разворачивают вредоносные компоненты.

С момента обнаружения в 2021 году группа Agrius сосредоточилась исключительно на разрушительных операциях. Угроза Fantasy похожа на предыдущую программу Apostle для уничтожения данных. Однако Fantasy не маскируется под программу-вымогатель.

Для противодействия атакам APT-групп компаниям важно повышать уровень осведомленности своих сотрудников об основных правилах безопасности и создать многоуровневую систему киберзащиты. В частности, организациям уже сейчас следует обеспечить всестороннюю защиту рабочих станций, расширенный анализ угроз, выявление и реагирование, а также предотвращение потери конфиденциальных данных.

 

Читайте также:

Кибершпионы атакуют Израиль: какие компании под прицелом

Как усилить кибербезопасность компании в условиях постоянных атак — 6 простых шагов

Распространенные APT-угрозы 2022: Украина остается главной целью кибершпионов