Израильский сектор высшего образования и технологический сектор подверглись атакам в рамках серии разрушительных кибератак, которые начались в январе 2023 года с целью развертывания ранее недокументированного вредоносного ПО wiper.
Вторжения, которые произошли совсем недавно, в октябре, были приписаны иранской хакерской группировке "Национальное государство", которую она отслеживает под именем Agonizing Serpens, которая также известна как Agrius, BlackShadow и Pink Sandstorm (ранее Americium).
"Атаки характеризуются попытками украсть конфиденциальные данные, такие как личная информация (PII) и интеллектуальная собственность", - говорится в новом отчете 42-го подразделения Palo Alto Networks, опубликованном The Hacker News.
"Как только злоумышленники крали информацию, они использовали различные средства очистки, предназначенные для заметания следов злоумышленников и вывода зараженных конечных точек из строя".
Это включает в себя три различных новых очистителя, таких как MultiLayer, PartialWasher и BFG Agonizer, а также специализированный инструмент для извлечения информации с серверов баз данных, известный как Sqlextractor.
Agonizing Serpens, действующий по крайней мере с декабря 2020 года, был связан с атаками wiper, нацеленными на израильские организации. Ранее в мае этого года Check Point подробно описал использование злоумышленником вируса-вымогателя под названием Moneybird в своих атаках на страну.
Последняя серия атак предполагает использование уязвимых веб-серверов, подключенных к Интернету, в качестве начальных маршрутов доступа для развертывания веб-оболочек и проведения разведки сетей жертв и кражи учетных данных пользователей с правами администратора.
За фазой бокового перемещения следует эксфильтрация данных с использованием сочетания общедоступных и пользовательских инструментов, таких как Sqlextractor, WinSCP и PuTTY, и, наконец, вредоносное ПО wiper -
"Похоже, что APT-группа Agonizing Serpens недавно обновила свои возможности, и они вкладывают большие усилия и ресурсы в попытку обойти EDR и другие меры безопасности", - сказали исследователи подразделения 42.
"Для этого они чередовали использование различных известных инструментов проверки концепции (PoC) и пентестирования, а также пользовательских инструментов".
Вторжения, которые произошли совсем недавно, в октябре, были приписаны иранской хакерской группировке "Национальное государство", которую она отслеживает под именем Agonizing Serpens, которая также известна как Agrius, BlackShadow и Pink Sandstorm (ранее Americium).
"Атаки характеризуются попытками украсть конфиденциальные данные, такие как личная информация (PII) и интеллектуальная собственность", - говорится в новом отчете 42-го подразделения Palo Alto Networks, опубликованном The Hacker News.
"Как только злоумышленники крали информацию, они использовали различные средства очистки, предназначенные для заметания следов злоумышленников и вывода зараженных конечных точек из строя".
Это включает в себя три различных новых очистителя, таких как MultiLayer, PartialWasher и BFG Agonizer, а также специализированный инструмент для извлечения информации с серверов баз данных, известный как Sqlextractor.
Agonizing Serpens, действующий по крайней мере с декабря 2020 года, был связан с атаками wiper, нацеленными на израильские организации. Ранее в мае этого года Check Point подробно описал использование злоумышленником вируса-вымогателя под названием Moneybird в своих атаках на страну.
Последняя серия атак предполагает использование уязвимых веб-серверов, подключенных к Интернету, в качестве начальных маршрутов доступа для развертывания веб-оболочек и проведения разведки сетей жертв и кражи учетных данных пользователей с правами администратора.
За фазой бокового перемещения следует эксфильтрация данных с использованием сочетания общедоступных и пользовательских инструментов, таких как Sqlextractor, WinSCP и PuTTY, и, наконец, вредоносное ПО wiper -
- MultiLayer - вредоносная программа .NET, которая перечисляет файлы для удаления или искажает их случайными данными, чтобы противостоять попыткам восстановления и сделать систему непригодной для использования путем удаления загрузочного сектора.
- PartialWasher - вредоносная программа на базе C ++ для сканирования дисков и удаления указанных папок и их вложенных папок.
- BFG Agonizer - вредоносная программа, которая в значительной степени опирается на проект с открытым исходным кодом под названием CRYLINE-v5.0.
"Похоже, что APT-группа Agonizing Serpens недавно обновила свои возможности, и они вкладывают большие усилия и ресурсы в попытку обойти EDR и другие меры безопасности", - сказали исследователи подразделения 42.
"Для этого они чередовали использование различных известных инструментов проверки концепции (PoC) и пентестирования, а также пользовательских инструментов".
