Agonizing Serpens Attack Detection: Iran-Backed Hackers Target Israeli Tech Firms and Educational Institutions

国家支援の攻撃者がもたらす増大する脅威は、APT集団による洗練された攻撃方法の採用とステルス性および運用セキュリティに対する大規模なシフトにより、ますます増加しています。最近、セキュリティ研究者たちは、イラン関連のハッカーグループとされる Agonizing Serpens（別名 Agrius、BlackShadow）によってイスラエルの組織に対して開始された破壊的なキャンペーンを明らかにしました。この攻撃的作戦の主な目的は、特定個人情報（PII）および知的財産を対象の機関から抽出し、その後にデータ消去マルウェアを展開することでした。

Agonizing Serpens 攻撃の検出

悪意のある領域では比較的新しいアクターであるイラン関連の Agonizing Serpens APTは、2020年以降に開始された複数の悪意のあるキャンペーンとともに中東地域に焦点を合わせています。

セキュリティ専門家が Agonizing Serpens の攻撃を適時に検出できるようにするため、集団的サイバー防御のためのSOC Prime プラットフォームは、広範なCTIおよびメタデータを伴うキュレーションされた検出アルゴリズムのセットを集約しています。すべてのルールは28のSIEM、EDR、XDR、データレイク技術に対応しており、脅威の調査を効率化するためにMITRE ATT&CKにマップされています。次の 検出を探る ボタンを押して、専用のコンテンツセットを掘り下げてください。

検出を探る

さらに、サイバー防御者は SOC Prime の Uncoder AI を活用して、 Palo Alto Networks Unit 42 の調査で提供された関連するIOCをハントすることができます の中で、イスラエルを狙った最新のキャンペーンをカバーしています。

Agonizing Serpens 攻撃分析

Agonizing Serpens 集団は2020年以来、中東のエンティティを継続的に攻撃しており、データ消去マルウェアを主要な武器として使用しています。このグループは、イスラエルとアラブ首長国連邦に対するオペレーションで使用されたApostle ワイパーで脚光を浴びました。Apostleは当初、ランサムウェアとして偽装され、被害者のデータを隠密に破壊しましたが、時が経つにつれて実際のランサムウェアの形態として改変されました。その後、グループはイスラエルと南アフリカに対する攻撃作戦を進めるためにFantasy ワイパーに切り替えました。

最近の Palo Alto Networks Unit42 の調査によれば、Agonizing Serpens は、イスラエルの企業を対象とした最新のキャンペーンで、MultiLaer、PartialWasher、およびBFGという3つの新しいワイパーを利用しました。このキャンペーンは2023年1月から10月まで続きました。データ破壊フェーズに切り替える前に、脅威アクターはSqlextractorツールを使用して対象のデータベースサーバから機密情報を抽出し、特にPIIおよび知的財産の詳細を検索しました。さらに、パスポート、メールクレデンシャル、住所などの盗まれた情報は、ソーシャルメディアやTelegramメッセンジャーで共有され、被害者の評判を損なう結果となりました。
特にハッカーたちは、公開されたインターネットフェイシングサーバを武器化し、ターゲットとしたインスタンスに侵入し、さらにウェブシェルの展開と偵察活動を通じてログイン詳細を盗み、管理者権限を取得しました。研究者によれば、データワイパーは侵入の痕跡を隠し、評判の損害の結果を追加するために使用されました。

国家支援のAPTグループによるサイバー攻撃の増大するボリュームとその高度化は、サイバー防御者に高度な応答性を要求しています。 最新の検出アルゴリズムにアクセスすることで、攻撃キャンペーンの先を行くことができます。 APT、マルウェア、およびあらゆる規模の新たな攻撃に対する