Rilevamento dell’attacco Agonizing Serpens: hacker sostenuti dall’Iran prendono di mira aziende tecnologiche israeliane e istituzioni educative
Indice:
La crescente minaccia posta dagli attori statali aumenta continuamente con nuovi metodi di attacco sofisticati adottati da collettivi APT e un massiccio spostamento verso la furtività e la sicurezza operativa. Recentemente, i ricercatori di sicurezza hanno rivelato una campagna distruttiva contro le organizzazioni israeliane lanciata da un gruppo di hacker affiliati all’Iran soprannominato Agonizing Serpens (alias Agrius, BlackShadow). L’obiettivo principale di questa operazione offensiva era estrarre informazioni personali identificabili (PII) e proprietà intellettuale dalle istituzioni mirate, seguito dal dispiegamento di malware wiper.
Rileva gli attacchi di Agonizing Serpens
Essendo un attore relativamente nuovo nell’arena malevola, l’APT Agonizing Serpens affiliato all’Iran ha concentrato i suoi sforzi sulla regione del Medio Oriente, con multiple campagne dannose lanciate dal 2020.
Per aiutare i professionisti della sicurezza a rilevare tempestivamente gli attacchi di Agonizing Serpens, la piattaforma SOC Prime per la difesa cibernetica collettiva aggrega un insieme di algoritmi di rilevamento curati accompagnati da ampie CTI e metadati. Tutte le regole sono compatibili con 28 tecnologie SIEM, EDR, XDR e Data Lake e mappate su MITRE ATT&CK per semplificare l’indagine sulle minacce. Basta fare clic sul Esplora Rilevamenti pulsante sottostante e approfondire un set di contenuti dedicati.
Inoltre, i difensori cibernetici possono sfruttare Il SOC Prime’s Uncoder AI per cercare gli IOC rilevanti forniti da Palo Alto Networks Unit 42 nella loro indagine coprendo l’ultima campagna mirata a Israele.
Analisi degli Attacchi di Agonizing Serpens
Il collettivo Agonizing Serpens ha attaccato continuamente le entità del Medio Oriente dal 2020, con malware di cancellazione dei dati utilizzato come arma principale nei loro attacchi. Il gruppo è salito alla ribalta con un wiper Apostle usato in operazioni contro Israele e gli Emirati Arabi Uniti. Apostle è stato inizialmente mascherato da ransomware, distruggendo segretamente i dati delle vittime, ma col tempo il malware è stato modificato per agire come un vero e proprio ransomware. Successivamente, il gruppo è passato al wiper Fantasy per procedere con operazioni offensive contro Israele e Sud Africa.
Secondo la recente indagine di Palo Alto Networks Unit42, Agonizing Serpens ha sfruttato tre nuovi wiper soprannominati MultiLaer, PartialWasher e BFG, nella loro ultima campagna contro le aziende israeliane, durata tra gennaio e ottobre 2023. Prima di passare alla fase di distruzione dei dati, gli attori delle minacce hanno esfiltrato informazioni sensibili dai server di database mirati usando lo strumento Sqlextractor, ricercando esplicitamente dettagli PII e di proprietà intellettuale. Inoltre, le informazioni rubate, compresi passaporti, credenziali email e indirizzi, sono state condivise sui social media e nel messenger Telegram per danneggiare la reputazione delle vittime.
Notevolmente, gli hacker hanno ottenuto accesso alle istanze mirate strumentalizzando server esposti a internet, con ulteriori distribuzioni di web shell e attività di ricognizione per rubare dati di accesso e ottenere diritti di amministratore. Secondo i ricercatori, i wiper di dati sono stati utilizzati per coprire qualsiasi traccia di intrusione e aggiungere alle conseguenze del danno reputazionale.
Volumi crescenti di attacchi informatici da parte di gruppi APT sostenuti dallo Stato e la loro crescente sofisticatezza richiedono una ultra-reattività dai difensori cibernetici. Rimani avanti a qualsiasi campagna offensiva con l’accesso agli ultimi algoritmi di rilevamento dal Marketplace di Rilevamento delle Minacce contro APT, malware e qualsiasi attacco emergente di qualsiasi dimensione.