Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Nov 08, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, RSS 0
I ricercatori di Unit 42, l’unità di threat intelligence di Palo Alto Networks, hanno individuato una serie di attacchi condotti tra gennaio e ottobre 2023 rivolti a realtà dei settori educativo e tecnologico in Israele. Il team di sicurezza ha attribuito la campagna ad Agonizing Serpens, gruppo APT legato all’Iran.
Conosciuto anche come Agrius, BlackShadow, Pink Sandstorm e DEV-0022, il gruppo ha colpito diverse organizzazioni per sottrarre dati sensibili come informazioni di identificazione personale e proprietà intellettuali. Ottenuti questi dati, Agonizing Serpens ha usato diversi wiper per coprire le proprie tracce e rendere inutilizzabili gli endpoint compromessi.
Unit 42 ha associato gli attacchi al gruppo iraniano per diverse motivazioni: in primo luogo, il wiper MultiLayer utilizzato nella campagna presenta numerose somiglianze nel codice e nella naming convention con Apostle e Fantasy, due wiper già documentati e legati ad Agonizing Serpens. Le similarità sono anche nel codice delle web shell, fatta eccezione per i nomi di variabili e funzioni.
Anche la natura distruttiva degli attacchi è associata alle attività del gruppo, così come gli obiettivi: la telemetria di Unit 42 ha rivelato che sono state colpite esclusivamente realtà israeliane.
Sembra che Agonizing Serpens abbia migliorato le proprie capacità negli ultimi mesi per aggirare i sistemi di rilevamento; per farlo ha utilizzato diversi tool di PoC e di penetration testing. Il gruppo è noto per aver eseguito attività di “fake-ransomware”, diversivi per far credere ai team di sicurezza che gli attacchi fossero ransomware e celare il vero obiettivo.
Oltre a MultiLayer, il gruppo ha utilizzato anche due nuovi wiper: BFG Agonizer e Partial Washer. Gli attaccanti hanno inoltre sviluppato un tool custom, Sqlextractor, che consente di estrarre record dai database dei server compromessi.
È probabile che le attività del gruppo aumentino nei prossimi mesi. Nonostante i tool di Palo Alto Networks siano riusciti a bloccare gli attacchi diretti ai propri clienti, l’attenzione rimane ai massimi livelli.
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 16, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...