Los sectores tecnológico y de educación superior israelíes han sido atacados como parte de una serie de ciberataques destructivos que comenzaron en enero de 2023 con el objetivo de implementar malware de limpieza previamente indocumentado.
Las intrusiones, que tuvieron lugar en octubre, se han atribuido a un equipo de hackers de un estado-nación iraní al que rastrea con el nombre de Agonizing Serpens, que también se conoce como Agrius, BlackShadow y Pink Sandstorm (anteriormente Americium).
«Los ataques se caracterizan por intentos de robar datos confidenciales, como información de identificación personal (PII) y propiedad intelectual», Unidad 42 de Palo Alto Networks. dicho en un nuevo informe compartido con The Hacker News.
«Una vez que los atacantes robaron la información, desplegaron varios limpiadores destinados a cubrir las huellas de los atacantes e inutilizar los puntos finales infectados».
Esto incluye tres novedosos limpiadores diferentes, como MultiLayer, PartialWasher y BFG Agonizer, así como una herramienta personalizada para extraer información de servidores de bases de datos conocida como Sqlextractor.
Activo desde al menos diciembre de 2020, Agonizing Serpens ha sido vinculado a ataques de limpiaparabrisas dirigidos a entidades israelíes. A principios de mayo, Check Point detalló el uso por parte del actor de amenazas de una cepa de ransomware llamada Moneybird en sus ataques dirigidos al país.
El último conjunto de ataques implica utilizar como armas servidores web vulnerables frente a Internet como rutas de acceso iniciales para implementar shells web y realizar reconocimientos de las redes de las víctimas y robar credenciales de usuarios con privilegios administrativos.
A una fase de movimiento lateral le sigue la exfiltración de datos utilizando una combinación de herramientas públicas y personalizadas como Sqlextractor, WinSCP y PuTTY, y finalmente entrega el malware de limpieza.
- Multicapaun malware .NET que enumera archivos para eliminarlos o corromperlos con datos aleatorios para resistir los esfuerzos de recuperación e inutilizar el sistema al borrar el sector de arranque.
- Lavadora parcialun malware basado en C++ para escanear unidades y borrar carpetas específicas y sus subcarpetas.
- Agonizador BFGun malware que depende en gran medida de un proyecto de código abierto llamado CRYLINE-v5.0.
Los vínculos a Agrius surgen de múltiples superposiciones de código con otras familias de malware como Apostle, IPsec Helper y Fantasy, que han sido identificadas como utilizadas anteriormente por el grupo.
«Parece que el grupo Agonizing Serpens APT ha mejorado recientemente sus capacidades y están invirtiendo grandes esfuerzos y recursos para intentar eludir la EDR y otras medidas de seguridad», dijeron los investigadores de la Unidad 42.
«Para hacerlo, han estado rotando entre el uso de diferentes herramientas conocidas de prueba de concepto (PoC) y de pentesting, así como herramientas personalizadas».