Aggiornamenti recenti Settembre 17th, 2025 4:45 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
- Un attacco supply chain ha compromesso oltre 40 pacchetti NPM
- TeamItaly, presentata la nuova squadra di giovani cyber defender
- CERT-AGID 6-12 settembre: i ransomware mostrano una nuova tattica di ingegneria sociale
- L’IA diventa arma e vittima per il cybercrimine: il report di Crowdstrike
Agonizing Serpens ha colpito numerose organizzazioni in Israele
I ricercatori di Unit 42, l’unità di threat intelligence di Palo Alto Networks, hanno individuato una serie di attacchi condotti tra gennaio e ottobre 2023 rivolti a realtà dei settori educativo e tecnologico in Israele. Il team di sicurezza ha attribuito la campagna ad Agonizing Serpens, gruppo APT legato all’Iran.
Conosciuto anche come Agrius, BlackShadow, Pink Sandstorm e DEV-0022, il gruppo ha colpito diverse organizzazioni per sottrarre dati sensibili come informazioni di identificazione personale e proprietà intellettuali. Ottenuti questi dati, Agonizing Serpens ha usato diversi wiper per coprire le proprie tracce e rendere inutilizzabili gli endpoint compromessi.
Unit 42 ha associato gli attacchi al gruppo iraniano per diverse motivazioni: in primo luogo, il wiper MultiLayer utilizzato nella campagna presenta numerose somiglianze nel codice e nella naming convention con Apostle e Fantasy, due wiper già documentati e legati ad Agonizing Serpens. Le similarità sono anche nel codice delle web shell, fatta eccezione per i nomi di variabili e funzioni.
Pixabay
Anche la natura distruttiva degli attacchi è associata alle attività del gruppo, così come gli obiettivi: la telemetria di Unit 42 ha rivelato che sono state colpite esclusivamente realtà israeliane.
Sembra che Agonizing Serpens abbia migliorato le proprie capacità negli ultimi mesi per aggirare i sistemi di rilevamento; per farlo ha utilizzato diversi tool di PoC e di penetration testing. Il gruppo è noto per aver eseguito attività di “fake-ransomware”, diversivi per far credere ai team di sicurezza che gli attacchi fossero ransomware e celare il vero obiettivo.
Oltre a MultiLayer, il gruppo ha utilizzato anche due nuovi wiper: BFG Agonizer e Partial Washer. Gli attaccanti hanno inoltre sviluppato un tool custom, Sqlextractor, che consente di estrarre record dai database dei server compromessi.
È probabile che le attività del gruppo aumentino nei prossimi mesi. Nonostante i tool di Palo Alto Networks siano riusciti a bloccare gli attacchi diretti ai propri clienti, l’attenzione rimane ai massimi livelli.
Condividi l'articolo
Gli attacchi dei bot malevoli diventano sempre più sofisticati
"Find My" di Apple può essere usato per sottrarre password e altri dati
Articoli correlati
Altro in questa categoria
Approfondimenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli...
-
Un attacco supply chain ha compromesso oltre 40 pacchetti... I ricercatori della compagnia di sicurezza Socket hanno... -
TeamItaly, presentata la nuova squadra di giovani cyber... La nuova squadra italiana per le competizioni di... -
CERT-AGID 6-12 settembre: i ransomware mostrano una nuova... La scorsa settimana il CERT-AGID ha identificato e... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo...
Ransomware: la serie
No posts found.