Tin tặc sử dụng công cụ xóa dữ liệu Fantasy mới trong cuộc tấn công chuỗi cung ứng phối hợp

Nhóm tin tặc Agrius APT của Iran đang sử dụng công cụ xóa dữ liệu ‘Ảo tưởng’ mới trong các cuộc tấn công chuỗi cung ứng ảnh hưởng đến các tổ chức ở Israel, Hồng Kông và Nam Phi.

Chiến dịch bắt đầu vào tháng 2 và mở rộng quy mô toàn diện vào tháng 3 năm 2022, xâm phạm một công ty dịch vụ hỗ trợ CNTT, một nhà bán buôn kim cương, một thợ kim hoàn và một công ty tư vấn nhân sự.

Trong chiến dịch này, Agrius đã sử dụng một gạt nước mới có tên ‘Ảo tưởng’ ẩn bên trong bộ phần mềm do một nhà cung cấp Israel tạo ra. Phần mềm này thường được sử dụng trong ngành công nghiệp kim cương.

Theo các nhà phân tích của ESET, ‘Ảo tưởng’ là một sự phát triển của khăn lau ‘Tông đồ’, mà tác nhân đe dọa đã sử dụng trong các chiến dịch trước đó.

Wipers là một danh mục phần mềm độc hại nhằm xóa dữ liệu trên các máy tính bị vi phạm, gây ra sự phá hủy kỹ thuật số và gián đoạn kinh doanh.

tấn công đồng thời

Agrius APT (Advanced Persistent Threat) đã xâm phạm một tổ chức Nam Phi trong ngành kim cương vào ngày 20 tháng 2 năm 2022, thả các công cụ khai thác thông tin xác thực như MiniDump và SecretsDump trên mạng của tổ chức này để đánh cắp thông tin đăng nhập tài khoản.

Các tin tặc đã tận dụng thông tin đăng nhập bị đánh cắp để lan rộng hơn nữa trên toàn bộ mạng bị vi phạm, có lẽ là thu thập thông tin và giành quyền truy cập vào các hệ thống khác.

Vào ngày 12 tháng 3 năm 2022, Argius đã triển khai Host2IP và một công cụ mới có tên ‘Sandals’ để truyền bá Fantasy wiper trên các thiết bị có thể tiếp cận.

Sandals là một tệp thực thi của Windows kết nối với các hệ thống trên cùng một mạng thông qua SMB và ghi một tệp bó được thực thi qua PsExec để khởi chạy trình gạt nước Fantasy.

Vào cùng ngày tháng 3 và trong khung thời gian 2,5 giờ, những kẻ tấn công đã triển khai cả bốn công cụ được đề cập nhằm vào các mục tiêu của Israel và một công ty ở Hồng Kông.

Tất cả các công ty bị tấn công đều là khách hàng của nhà phát triển phần mềm bị ảnh hưởng, theo ESET, họ đã nhận ra vấn đề ngay lập tức và đẩy các bản cập nhật sạch trong vòng vài giờ.

Cần gạt nước ‘Ảo tưởng’

Công cụ xóa dữ liệu Fantasy là một tệp thực thi Windows 32 bit (‘fantasy45.exe’ và ‘fantasy35.exe’). Khi thực thi, nó nhận được một danh sách tất cả các ổ đĩa và thư mục của chúng ngoại trừ thư mục Windows bị bỏ qua và tất cả các tệp trong mỗi thư mục.

Fantasy ghi đè nội dung của từng tệp bằng dữ liệu ngẫu nhiên, đặt dấu thời gian thành nửa đêm năm 2037 và xóa nó. Quá trình này cố gắng ngăn các tệp được khôi phục bằng các công cụ khôi phục dữ liệu.

Tiếp theo, Fantasy xóa các khóa đăng ký trong HKCR, xóa tất cả WinEventLog, xóa thư mục Windows SystemDrive, sau đó chuyển sang chế độ ngủ hai phút.

Cuối cùng, trình gạt ghi đè lên bản ghi khởi động chính, tự xóa và khởi động lại hệ thống sau 30 giây trì hoãn khác.

Tuy nhiên, mặc dù đây là những cuộc tấn công phá hoại, ESET nói rằng nạn nhân có thể sao lưu và chạy sau vài giờ.

“Có khả năng khôi phục %SYSTEMDRIVE% là có thể. Theo quan sát, nạn nhân được sao lưu và chạy trong vòng vài giờ,” ESET giải thích.

ESET nhận xét rằng mặc dù có nhiều mã trùng lặp giữa Tông đồ và Fantasy, nhưng cái sau hoàn toàn là một công cụ xóa, không có bất kỳ khả năng mã hóa dữ liệu nào và không tạo ghi chú đòi tiền chuộc.