伊朗黑客利用供应链攻击中的数据擦除恶意软件打击钻石行业

伊朗高级持续威胁（APT）行为者阿格里乌斯被认为是针对南非、以色列和香港钻石行业的一系列数据扫描器攻击的幕后黑手。

据信，这款被ESET称为“Fantasy”的雨刷是通过针对以色列套件开发商的供应链攻击交付的，这是2022年2月开始的攻击行动的一部分。

受害者包括以色列的人力资源公司、IT咨询公司和一家钻石批发商；在钻石行业工作的南非实体；和一家总部位于香港的珠宝商。

ESET研究人员Adam Burgher在周三的一份分析中透露：“Fantasy雨刮器建立在之前报道的Apostle雨刮器的基础上，但并不像Apostle最初那样试图伪装成勒索软件”。

2021 5月，SentinelOne首次将《使徒》记录为一款雨刷式翻译软件，用于对以色列目标进行破坏性攻击。

入侵背后与伊朗结盟的组织Agrius至少自2020年12月以来一直活跃，利用面向互联网的应用程序中已知的安全漏洞投放网络炮弹，进而帮助侦察、横向移动和最后阶段有效载荷的交付。

这家斯洛伐克网络安全公司表示，2022年2月20日发现了第一次攻击，当时该行为体在南非组织的IT网络中部署了凭据获取工具。

阿格里乌斯随后于2022年3月12日通过幻想发起了擦拭攻击，随后于同一天袭击了以色列和香港的其他公司。

Fantasy是通过另一个名为Sandals的工具执行的，Sandals是一个32位Windows可执行文件，用C#/.NET编写。据说它是通过使用以色列开发人员的软件更新机制的供应链攻击部署在受损主机上的。

ESET的评估证实了这一点，即所有受害者都是受影响软件开发人员的客户，并且擦拭器二进制文件遵循与其合法对应文件相似的命名惯例（“fantasy45.exe”和“fantasy 35.exe”）。

擦拭器的工作方式是递归地检索每个驱动器的目录列表，用垃圾数据覆盖这些目录中的每个文件，为这些文件分配未来的时间戳，然后删除它们。

Burgher解释道：“这样做可能会使恢复和法医分析更加困难”。

为了进一步清除活动的所有痕迹，Fantasy清除所有Windows事件日志，递归清除系统驱动器中的所有文件，覆盖系统的主引导记录，自我删除，最后重新启动机器。

这场活动持续了不超过三个小时，但最终没有成功，ESET表示它能够阻止雨刮器的执行。该软件的开发者已经推出了干净的更新来阻止攻击。

ESET没有披露供应链攻击中受害的以色列公司的名称，但有证据表明它是Rubinstein Software，该公司销售一种名为Fantasy的企业资源规划（ERP）解决方案，用于珠宝库存管理。

“自2021发现以来，阿格里乌斯一直专注于破坏性行动，”伯格总结道。

“为此，Agrius运营商可能针对一家以色列软件公司的软件更新机制实施了供应链攻击，将其最新雨刷Fantasy部署到以色列、香港和南非的受害者手中”。

Agrius远不是第一个被发现部署破坏性雨刷恶意软件的与伊朗有关的威胁组织。

据称，APT33黑客组织（又名Elfin、Holmium或Refined Kitten）涉嫌在伊朗政府的命令下活动，策划了多起针对中东目标使用Shamoon雨刷的袭击。

伊朗支持的APT34（又名OilRig或Helix Kitten）威胁行为体也利用代号为ZeroCleare的数据传输恶意软件，对中东能源和工业部门的组织进行攻击。