Het Israëlische hoger onderwijs en de technologiesector zijn doelwit geweest als onderdeel van een reeks destructieve cyberaanvallen die in januari 2023 begonnen met als doel voorheen ongedocumenteerde wiper-malware in te zetten.
De inbraken, die pas in oktober plaatsvonden, worden toegeschreven aan een hackersploeg van de Iraanse natiestaat die zij volgen onder de naam Agonizing Serpens, ook bekend als Agrius, BlackShadow en Pink Sandstorm (voorheen Americium).
“De aanvallen worden gekenmerkt door pogingen om gevoelige gegevens te stelen, zoals persoonlijk identificeerbare informatie (PII) en intellectueel eigendom”, zegt Palo Alto Networks Unit 42 in een nieuw rapport gedeeld met The Hacker News.
“Toen de aanvallers de informatie hadden gestolen, hebben ze verschillende ruitenwissers ingezet die bedoeld waren om de sporen van de aanvallers uit te wissen en de geïnfecteerde eindpunten onbruikbaar te maken.”
Dit omvat drie verschillende nieuwe wipers zoals MultiLayer, PartialWasher en BFG Agonizer, evenals een op maat gemaakte tool om informatie uit databaseservers te extraheren, bekend als Sqlextractor.
Agonizing Serpens is actief sinds minstens december 2020 en wordt in verband gebracht met ruitenwisseraanvallen gericht op Israëlische entiteiten. Eerder dit jaar gaf Check Point details over het gebruik door de bedreigingsacteur van een ransomware-soort genaamd Moneybird bij zijn aanvallen op het land.
De nieuwste reeks aanvallen omvat het bewapenen van kwetsbare internetgerichte webservers als initiële toegangsroutes om webshells in te zetten, verkenningen uit te voeren op de slachtoffernetwerken en inloggegevens te stelen van gebruikers met beheerdersrechten.
Een fase van laterale verplaatsing wordt gevolgd door data-exfiltratie met behulp van een mix van openbare en aangepaste tools zoals Sqlextractor, WinSCP en PuTTY, en uiteindelijk levert de wiper-malware op –
- Meerlaagseen .NET-malware die bestanden opsomt om ze te verwijderen of te corrumperen met willekeurige gegevens om herstelpogingen te weerstaan en het systeem onbruikbaar te maken door de opstartsector te wissen.
- Gedeeltelijke wasmachineeen op C++ gebaseerde malware die schijven scant en specifieke mappen en submappen wist.
- BFG Agonizereen malware die sterk afhankelijk is van een open-sourceproject genaamd CRYLINE-v5.0.
De links naar Agrius komen voort uit meerdere code-overlappingen met andere malwarefamilies zoals Apostle, IPsec Helper en Fantasy, waarvan is vastgesteld dat ze eerder door de groep werden gebruikt.
“Het lijkt erop dat de Agonizing Serpens APT-groep onlangs hun capaciteiten heeft geüpgraded en dat ze grote inspanningen en middelen investeren om EDR en andere veiligheidsmaatregelen te omzeilen”, aldus onderzoekers van Unit 42.
“Om dit te doen, hebben ze gewisseld tussen het gebruik van verschillende bekende proof-of-concept (PoC) en pentesting-tools, evenals aangepaste tools.”
