Aggiornamenti recenti Dicembre 23rd, 2025 10:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Kaspersky: così funziona il mercato del lavoro nel dark web
- Kaspersky: il cybercrime finanziario ha alzato il livello nel 2025
- CERT-AGID 13-19 dicembre: phishing PagoPA e smishing INPS
- Una vulnerabilità di ASUS Live Update di sette anni fa viene ancora sfruttata
- Il cybercrime si evolve velocemente e l’IA diventa protagonista: le previsioni di Group-IB per il 2026
Agonizing Serpens ha colpito numerose organizzazioni in Israele
I ricercatori di Unit 42, l’unità di threat intelligence di Palo Alto Networks, hanno individuato una serie di attacchi condotti tra gennaio e ottobre 2023 rivolti a realtà dei settori educativo e tecnologico in Israele. Il team di sicurezza ha attribuito la campagna ad Agonizing Serpens, gruppo APT legato all’Iran.
Conosciuto anche come Agrius, BlackShadow, Pink Sandstorm e DEV-0022, il gruppo ha colpito diverse organizzazioni per sottrarre dati sensibili come informazioni di identificazione personale e proprietà intellettuali. Ottenuti questi dati, Agonizing Serpens ha usato diversi wiper per coprire le proprie tracce e rendere inutilizzabili gli endpoint compromessi.
Unit 42 ha associato gli attacchi al gruppo iraniano per diverse motivazioni: in primo luogo, il wiper MultiLayer utilizzato nella campagna presenta numerose somiglianze nel codice e nella naming convention con Apostle e Fantasy, due wiper già documentati e legati ad Agonizing Serpens. Le similarità sono anche nel codice delle web shell, fatta eccezione per i nomi di variabili e funzioni.
Pixabay
Anche la natura distruttiva degli attacchi è associata alle attività del gruppo, così come gli obiettivi: la telemetria di Unit 42 ha rivelato che sono state colpite esclusivamente realtà israeliane.
Sembra che Agonizing Serpens abbia migliorato le proprie capacità negli ultimi mesi per aggirare i sistemi di rilevamento; per farlo ha utilizzato diversi tool di PoC e di penetration testing. Il gruppo è noto per aver eseguito attività di “fake-ransomware”, diversivi per far credere ai team di sicurezza che gli attacchi fossero ransomware e celare il vero obiettivo.
Oltre a MultiLayer, il gruppo ha utilizzato anche due nuovi wiper: BFG Agonizer e Partial Washer. Gli attaccanti hanno inoltre sviluppato un tool custom, Sqlextractor, che consente di estrarre record dai database dei server compromessi.
È probabile che le attività del gruppo aumentino nei prossimi mesi. Nonostante i tool di Palo Alto Networks siano riusciti a bloccare gli attacchi diretti ai propri clienti, l’attenzione rimane ai massimi livelli.
Condividi l'articolo
Gli attacchi dei bot malevoli diventano sempre più sofisticati
"Find My" di Apple può essere usato per sottrarre password e altri dati
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di... -
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è... -
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che... -
Il cybercrime si evolve e si adatta, integrando l’IA... Il secondo semestre del 2025 ha segnato un punto di svolta... -
L’IA al centro delle strategie di cybersecurity... Il 2025 sta giungendo al termine e nel mondo della...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è...
-
CERT-AGID 13-19 dicembre: phishing PagoPA e smishing INPS Nel corso della settimana appena analizzata, il CERT-AGID... -
Una vulnerabilità di ASUS Live Update di sette anni fa... Una vecchia vulnerabilità di ASUS Live Update è ancora... -
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che...
-
Kaspersky, le PMI italiane sono un bersaglio strutturale... Mezzo milione di nuovi file malevoli al giorno. È
Ransomware: la serie
No posts found.