Détection de l’attaque Serpens agonisante : hackers soutenus par l’Iran ciblent les entreprises technologiques israéliennes et les établissements éducatifs
Table des matières :
La menace croissante posée par les acteurs étatiques ne cesse d’augmenter avec de nouvelles méthodes d’attaque sophistiquées adoptées par les collectifs APT et un passage massif à la furtivité et à la sécurité opérationnelle. Récemment, des chercheurs en sécurité ont révélé une campagne destructrice contre des organisations israéliennes lancée par un groupe de hackers affilié à l’Iran surnommé Agonizing Serpens (alias Agrius, BlackShadow). L’objectif principal de cette opération offensive était d’extraire des informations personnellement identifiables (PII) et des propriétés intellectuelles des institutions ciblées, suivi du déploiement de logiciels malveillants effaceurs.
Détecter les attaques d’Agonizing Serpens
Étant un acteur relativement nouveau dans le domaine du malveillant, Agonizing Serpens APT affilié à l’Iran concentre ses efforts sur la région du Moyen-Orient, avec de multiples campagnes malveillantes lancées depuis 2020.
Pour aider les professionnels de la sécurité à détecter en temps opportun les attaques d’Agonizing Serpens, la plateforme SOC Prime pour la défense cybernétique collective agrège un ensemble d’algorithmes de détection sélectionnés accompagnés d’une vaste CTI et de métadonnées. Toutes les règles sont compatibles avec 28 technologies SIEM, EDR, XDR et Data Lake et sont mappées à MITRE ATT&CK pour faciliter l’investigation des menaces. Il suffit de cliquer sur le bouton Explorer les détections ci-dessous et d’approfondir vers un ensemble de contenu dédié.
De plus, les défenseurs cyber peuvent tirer parti de SOC Prime’s Uncoder AI pour rechercher des IOC pertinents fournis par Palo Alto Networks Unit 42 dans leur enquête couvrant la dernière campagne ciblant Israël.
Analyse des attaques d’Agonizing Serpens
Le collectif Agonizing Serpens attaque continuellement des entités du Moyen-Orient depuis 2020, utilisant des logiciels malveillants effaceurs comme arme principale dans leurs attaques. Le groupe s’est fait connaître avec un effaceur Apostle utilisé dans des opérations contre Israël et les Émirats arabes unis. Apostle a d’abord été déguisé en ransomware, détruisant discrètement les données de la victime, mais au fil du temps, le malware a été modifié pour agir comme une souche de ransomware réelle. Ensuite, le groupe est passé à l’effaceur Fantasy pour poursuivre ses opérations offensives contre Israël et l’Afrique du Sud.
Selon la récente enquête de Palo Alto Networks Unit42, Agonizing Serpens a exploité trois nouveaux effaceurs baptisés MultiLaer, PartialWasher et BFG, dans leur dernière campagne contre des entreprises israéliennes, qui a duré entre janvier et octobre 2023. Avant de passer à la phase de destruction des données, les acteurs de menaces ont exfiltré des détails sensibles des serveurs de base de données ciblés en utilisant l’outil Sqlextractor, recherchant explicitement des PII et des détails de propriété intellectuelle. Par ailleurs, les informations volées, y compris les passeports, les identifiants de messagerie et les adresses, ont été partagées sur les réseaux sociaux et la messagerie Telegram pour nuire à la réputation des victimes.
Notamment, les hackers ont accédé aux instances ciblées en exploitant des serveurs exposés à Internet, avec un déploiement ultérieur de web shells et des activités de reconnaissance pour voler des détails de connexion et obtenir des droits administratifs. Selon les chercheurs, des effaceurs de données ont été utilisés pour couvrir toute trace d’intrusion et renforcer les conséquences de dommages à la réputation.
La croissance des volumes d’attaques cybernétiques par des groupes APT soutenus par des États et leur sophistication croissante nécessitent une ultra-réactivité de la part des défenseurs cyber. Restez en avance sur toute campagne offensive avec accès aux derniers algorithmes de détection du Threat Detection Marketplace contre les APT, les malwares et toute attaque émergente, quelle que soit son ampleur.