Detecção do Ataque Agonizante Serpens: Hackers Patrocinados pelo Irã Miram Empresas de Tecnologia e Instituições de Ensino Israelenses
Índice:
A crescente ameaça representada por atores estatais continua a aumentar com novos métodos de ataque sofisticados adotados por coletivos APT e uma mudança maciça em direção à furtividade & segurança operacional. Recentemente, pesquisadores de segurança revelaram uma campanha destrutiva contra organizações israelenses lançada por um grupo de hackers afiliado ao Irã chamado Agonizing Serpens (também conhecido como Agrius, BlackShadow). O principal objetivo desta operação ofensiva era extrair informações pessoalmente identificáveis (PII) e propriedade intelectual de instituições alvo, seguido pelo implante de malware wiper.
Detectar Ataques de Agonizing Serpens
Sendo um ator relativamente novo na arena maliciosa, a APT Agonizing Serpens afiliada ao Irã tem concentrado seus esforços na região do Oriente Médio, com múltiplas campanhas maliciosas lançadas desde 2020.
Para ajudar os profissionais de segurança a detectar tempestivamente ataques de Agonizing Serpens, a SOC Prime Platform para defesa cibernética coletiva agrega um conjunto de algoritmos de detecção curados acompanhados por um extenso CTI e metadados. Todas as regras são compatíveis com 28 tecnologias SIEM, EDR, XDR e Data Lake e mapeadas para o MITRE ATT&CK para otimizar a investigação de ameaças. Basta clicar no Explore Detections botão abaixo e aprofundar para um conjunto de conteúdo dedicado.
Além disso, os defensores cibernéticos podem aproveitar o Uncoder AI da SOC Prime para buscar IOCs relevantes fornecidos pela Palo Alto Networks Unit 42 em sua investigação cobrindo a última campanha visando Israel.
Análise do Ataque de Agonizing Serpens
O coletivo Agonizing Serpens tem atacado continuamente entidades do Oriente Médio desde 2020, com malware de destruição de dados usado como principal arma em seus ataques. O grupo ganhou notoriedade com um wiper Apostle usado em operações contra Israel e os Emirados Árabes Unidos. Inicialmente, o Apostle foi disfarçado como ransomware, destruindo secretamente os dados da vítima, mas com o tempo o malware foi modificado para agir como uma cepa real de ransomware. Além disso, o grupo mudou para o wiper Fantasy para prosseguir com operações ofensivas contra Israel e África do Sul.
De acordo com a recente investigação da Palo Alto Networks Unit42, Agonizing Serpens utilizou três novos wipers chamados MultiLaer, PartialWasher e BFG, em sua última campanha contra empresas israelenses, que durou entre janeiro e outubro de 2023. Antes de mudar para a fase de destruição de dados, os atores da ameaça exfiltraram detalhes sensíveis de servidores de banco de dados alvo usando a ferramenta Sqlextractor, procurando explicitamente por detalhes de PII e propriedade intelectual. Além disso, as informações roubadas, incluindo passaportes, credenciais de e-mail e endereços, foram compartilhadas em mídias sociais e no mensageiro Telegram para prejudicar a reputação das vítimas.
Notavelmente, os hackers entraram nas instâncias alvo através da exploração de servidores expostos à internet, com subsequentemente uma implantação de web shell e atividades de reconhecimento para roubar detalhes de login e ganhar direitos de administrador. De acordo com os pesquisadores, os wipers de dados foram usados para cobrir qualquer vestígio de intrusão e aumentar as consequências do dano reputacional.
O volume crescente de ataques cibernéticos por grupos APT apoiados pelo estado e seu crescente refinamento exigem ultra-responsividade dos defensores cibernéticos. Mantenha-se à frente de quaisquer campanhas ofensivas com acesso aos algoritmos de detecção mais recentes do Threat Detection Marketplace contra APTs, malware e quaisquer ataques emergentes em qualquer escala.