Aggiornamenti recenti Settembre 17th, 2025 4:45 PM
Nov 08, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, RSS 0
I ricercatori di Unit 42, l’unità di threat intelligence di Palo Alto Networks, hanno individuato una serie di attacchi condotti tra gennaio e ottobre 2023 rivolti a realtà dei settori educativo e tecnologico in Israele. Il team di sicurezza ha attribuito la campagna ad Agonizing Serpens, gruppo APT legato all’Iran.
Conosciuto anche come Agrius, BlackShadow, Pink Sandstorm e DEV-0022, il gruppo ha colpito diverse organizzazioni per sottrarre dati sensibili come informazioni di identificazione personale e proprietà intellettuali. Ottenuti questi dati, Agonizing Serpens ha usato diversi wiper per coprire le proprie tracce e rendere inutilizzabili gli endpoint compromessi.
Unit 42 ha associato gli attacchi al gruppo iraniano per diverse motivazioni: in primo luogo, il wiper MultiLayer utilizzato nella campagna presenta numerose somiglianze nel codice e nella naming convention con Apostle e Fantasy, due wiper già documentati e legati ad Agonizing Serpens. Le similarità sono anche nel codice delle web shell, fatta eccezione per i nomi di variabili e funzioni.
Pixabay
Anche la natura distruttiva degli attacchi è associata alle attività del gruppo, così come gli obiettivi: la telemetria di Unit 42 ha rivelato che sono state colpite esclusivamente realtà israeliane.
Sembra che Agonizing Serpens abbia migliorato le proprie capacità negli ultimi mesi per aggirare i sistemi di rilevamento; per farlo ha utilizzato diversi tool di PoC e di penetration testing. Il gruppo è noto per aver eseguito attività di “fake-ransomware”, diversivi per far credere ai team di sicurezza che gli attacchi fossero ransomware e celare il vero obiettivo.
Oltre a MultiLayer, il gruppo ha utilizzato anche due nuovi wiper: BFG Agonizer e Partial Washer. Gli attaccanti hanno inoltre sviluppato un tool custom, Sqlextractor, che consente di estrarre record dai database dei server compromessi.
È probabile che le attività del gruppo aumentino nei prossimi mesi. Nonostante i tool di Palo Alto Networks siano riusciti a bloccare gli attacchi diretti ai propri clienti, l’attenzione rimane ai massimi livelli.
Set 17, 2025 0
Ago 25, 2025 0
Lug 18, 2025 0
Lug 10, 2025 0
Set 16, 2025 0
Set 15, 2025 0
Set 12, 2025 0
Set 11, 2025 0
Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 16, 2025 0
I ricercatori della compagnia di sicurezza Socket hanno...Set 15, 2025 0
La nuova squadra italiana per le competizioni di...Set 15, 2025 0
La scorsa settimana il CERT-AGID ha identificato e...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...