Az Iránhoz köthető Agonizing Serpens csoport (vagy más néven Agrius, BlackShadow, Pink Sandstorm, DEV-0022) 2023 eleje óta destruktív kibertámadásokkal célozta meg az izraeli felsőoktatási és technológiai szektorokat.
A Palo Alto Networks’ Unit 42 kutatói jelentették, hogy a támadók először megpróbálják megszerezni az érzékeny adatokat (például személyazonosító adatokat és szellemi tulajdont), majd különböző wipereket telepítenek a nyomok eltüntetésére. Az eltulajdonított adatokat a közösségi médián vagy a Telegram csatornákon teszik közzé, hogy félelmet keltsenek vagy megsértsék a célpontok jó hírnevét. Az utóbbi izraeli támadássorozatban a csoport személyazonosító számokat, útlevél másolatokat, valamint e-mail és postacímeket lopott.
A kutatók észlelték, hogy az Agonizing Serpens csoport három korábban ismeretlen (MultiLayer, PartialWasher, és Sqlextractor) wiper szoftvert használt az információk adatbázisszerverekből való kinyerésére. Az sqlextractor eszköz (futtatható fájl neve sql.net4.exe) lehetővé teszi, hogy lekérdezzék az SQL adatbázisokat és kinyerjenek érzékeny adatokat.
Az Agonizing Serpens csoport 2020 december óta aktív és ismert az izraeli szervezetek elleni destruktív wiper és hamis ransomware támadásokról. Először ismert sebezhetőségek kihasználásával a cél infrastruktúrájához hozzáférést szereznek, ezután a támadók több web shell-t telepítenek, hogy a hálózaton maradhassanak és későbbi tevékenységeiknek megágyazzanak. A web shell-ek, amelyeket ezen támadás során használtak, némi változással, de ugyanazt a kódot tartalmazzák, mint a korábbi Agonizing Serpens támadásokban észlelt web shell-ek. A telepítés után különböző ismert és nyilvánosan elérhető szkenner használatával megkezdték a hálózat feltérképezését és az admin jogosultságokkal rendelkező felhasználók hitelesítő adatainak eltulajdonítását.
A támadók különféle nyilvánosan elérhető eszközzel, köztük a WinSCP-vel és a Putty-val próbáltak kinyerni információkat a célpontokból.
“Ez a támadás egy szélesebb offenzív kampány része, amely izraeli szervezeteket céloz. Telemetriánk alapján a legtöbb célpont az oktatási és technológiai szektorhoz tartozik.” – zárja a jelentés, amely tartalmaz IoC-ket. “Vizsgálatunk során új eszközöket fedeztünk fel a csoport eszközkészletében, beleértve három korábban nem dokumentált wipert, valamint egy adatbázis kinyerő eszközt. Az új wiperek elemzése azt mutatta, hogy a csoport bővítette az eszköztárát, nagy hangsúlyt fektetve a rejtőzködésre és a biztonsági megoldások, például az EDR technológia megkerülésére.”
