Da gennaio 2023, il settore dell’istruzione superiore e tecnologico israeliano è stato preso di mira da una serie di attacchi cyber distruttivi. Gli attacchi, che hanno avuto luogo fino a ottobre, sono stati attribuiti a un gruppo di hacker sponsorizzato dallo stato iraniano conosciuto come Agonizing Serpens, che opera anche sotto i nomi di Agrius, BlackShadow e Pink Sandstorm. Secondo quanto riportato da Unit 42 di Palo Alto Networks, gli attacchi si sono concentrati sul furto di dati sensibili, come informazioni personali identificabili e proprietà intellettuale, seguiti dall’impiego di malware cancellatori per coprire le tracce degli aggressori e rendere inutilizzabili i dispositivi infetti.
Strumenti e metodologie degli attacchi
Gli aggressori hanno utilizzato server web vulnerabili come punti di accesso iniziali per distribuire web shell, eseguire attività di ricognizione all’interno delle reti delle vittime e rubare le credenziali degli utenti con privilegi amministrativi. La fase di movimento laterale è seguita dall’esfiltrazione dei dati, utilizzando una combinazione di strumenti pubblici e personalizzati come Sqlextractor, WinSCP e PuTTY, e infine dalla consegna del malware cancellatore.
Tipologie di malware impiegati
Tra i malware utilizzati ci sono tre nuovi cancellatori: MultiLayer, PartialWasher e BFG Agonizer. MultiLayer è un malware .NET che enumera i file per la cancellazione o la corruzione con dati casuali per resistere agli sforzi di recupero e rendere il sistema inutilizzabile cancellando il settore di avvio. PartialWasher è un malware basato su C++ progettato per scandire i dischi e cancellare cartelle specifiche e le loro sottocartelle. BFG Agonizer si basa pesantemente su un progetto open-source chiamato CRYLINE-v5.0.
Aggiornamenti e miglioramenti delle capacità di Agonizing Serpens
È emerso che il gruppo Agonizing Serpens APT ha recentemente potenziato le proprie capacità, investendo notevoli sforzi e risorse per cercare di eludere EDR e altre misure di sicurezza. A tal fine, hanno ruotato l’uso di diversi strumenti di pentesting e proof-of-concept noti, oltre a strumenti personalizzati.