O setor de ensino superior e tecnologia de Israel tem sido alvo de uma série de ataques cibernéticos destrutivos que começaram em janeiro de 2023 com o objetivo de implantar um malware destruidor previamente não documentado.
As invasões, que ocorreram até recentemente em outubro, foram atribuídas a um grupo hacker iraniano conhecido como Agonizing Serpens, também conhecido como Agrius, BlackShadow e Pink Sandstorm (anteriormente Americium).
"Os ataques são caracterizados por tentativas de roubar dados sensíveis, como informações pessoalmente identificáveis (PII) e propriedade intelectual", disse a Unit 42 da Palo Alto Networks em um novo relatório compartilhado com o The Hacker News.
"Depois que os invasores roubam as informações, eles implantam vários destruidores para cobrir os rastros dos invasores e tornar os pontos finais infectados inutilizáveis."
Isso inclui três diferentes destruidores novos como MultiLayer, PartialWasher e BFG Agonizer, bem como uma ferramenta personalizada para extrair informações de servidores de banco de dados conhecida como Sqlextractor.
Ativo desde pelo menos dezembro de 2020, o Agonizing Serpens tem sido associado a ataques destruidores contra entidades israelenses.
Já em maio, a Check Point detalhou o uso de uma variação do ransomware chamada Moneybird pelo grupo em ataques ao país.
O último conjunto de ataques envolve a utilização de servidores web vulneráveis voltados ao público como pontos de acesso para implantar shells web e conduzir reconhecimento das redes vítimas e roubar credenciais de usuários com privilégios administrativos.
Uma fase de movimento lateral é seguida pela exfiltração de dados usando uma mistura de ferramentas públicas e personalizadas como Sqlextractor, WinSCP e PuTTY, finalizando a entrega do malware destruidor.
MultiLayer, um malware .NET que enumera arquivos para exclusão ou corrupção com dados aleatórios para resistir a esforços de recuperação e tornar o sistema inutilizável eliminando o setor de inicialização.
PartialWasher, um malware baseado em C++ para escanear drives e apagar pastas especificadas e suas subpastas.
BFG Agonizer, um malware que depende fortemente de um projeto de código aberto chamado CRYLINE-v5.0.
As ligações com o Agrius decorrem de várias sobreposições de código com outras famílias de malware como Apóstolo, IPsec Helper e Fantasia, que foram identificados como previamente utilizados pelo grupo.
"Parece que o grupo APT Agonizing Serpens recentemente atualizou suas capacidades e está investindo grandes esforços e recursos em uma tentativa de contornar EDR e outras medidas de segurança", disseram os pesquisadores da Unit 42.
"Para fazer isso, eles têm alternado o uso de diferentes ferramentas de teste-de-conceito (PoC) conhecidas e ferramentas personalizadas."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...