Les secteurs israéliens de l’enseignement supérieur et de la technologie ont été ciblés dans le cadre d’une série de cyberattaques destructrices qui ont débuté en janvier 2023 dans le but de déployer des logiciels malveillants d’effacement jusqu’alors non documentés.
Les intrusions, qui ont eu lieu pas plus tard qu’en octobre, ont été attribuées à une équipe de pirates informatiques iraniens qu’elle suit sous le nom d’Agonizing Serpens, également connu sous les noms d’Agius, BlackShadow et Pink Sandstorm (anciennement Americium).
« Les attaques se caractérisent par des tentatives de vol de données sensibles, telles que des informations personnelles identifiables (PII) et la propriété intellectuelle », Palo Alto Networks Unit 42. dit dans un nouveau rapport partagé avec The Hacker News.
« Une fois que les attaquants ont volé les informations, ils ont déployé divers essuie-glaces destinés à brouiller les traces des attaquants et à rendre les terminaux infectés inutilisables. »
Cela comprend trois nouveaux essuie-glaces différents tels que MultiLayer, PartialWasher et BFG Agonizer, ainsi qu’un outil sur mesure pour extraire des informations des serveurs de base de données connu sous le nom de Sqlextractor.
Actif depuis au moins décembre 2020, Agonizing Serpens est lié à des attaques aux essuie-glaces ciblant des entités israéliennes. Plus tôt en mai, Check Point a détaillé l’utilisation par l’acteur malveillant d’une souche de ransomware appelée Moneybird dans ses attaques ciblant le pays.
La dernière série d’attaques consiste à utiliser des serveurs Web vulnérables orientés vers Internet comme voies d’accès initiales pour déployer des shells Web, effectuer une reconnaissance des réseaux victimes et voler les informations d’identification des utilisateurs disposant de privilèges administratifs.
Une phase de mouvement latéral est suivie d’une exfiltration de données à l’aide d’un mélange d’outils publics et personnalisés tels que Sqlextractor, WinSCP et PuTTY, et enfin de la diffusion du malware wiper –
- MultiCoucheun malware .NET qui énumère les fichiers pour les supprimer ou les corrompre avec des données aléatoires pour résister aux efforts de récupération et rendre le système inutilisable en effaçant le secteur de démarrage.
- Lavage partielun malware basé sur C++ pour analyser les lecteurs et effacer les dossiers spécifiés et leurs sous-dossiers.
- Agoniseur BFGun malware qui s’appuie fortement sur un projet open source appelé CRYLINE-v5.0.
Les liens vers Agrius proviennent de multiples chevauchements de code avec d’autres familles de logiciels malveillants comme Apostle, IPsec Helper et Fantasy, qui ont été identifiés comme précédemment utilisés par le groupe.
« Il semble que le groupe Agonizing Serpens APT ait récemment amélioré ses capacités et qu’il investisse de grands efforts et ressources pour tenter de contourner l’EDR et d’autres mesures de sécurité », ont déclaré les chercheurs de l’unité 42.
« Pour ce faire, ils ont utilisé différents outils de preuve de concept (PoC) et de test d’intrusion connus, ainsi que des outils personnalisés. »