Aggiornamenti recenti Maggio 23rd, 2025 3:19 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- M&S perde un terzo dei profitti a causa di un attacco informatico
- Spionaggio russo: scoperta una campagna attiva dal 2022
- I ruoli di default di AWS consentono compromissioni e movimento laterale
- ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
- Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate
Agonizing Serpens ha colpito numerose organizzazioni in Israele
I ricercatori di Unit 42, l’unità di threat intelligence di Palo Alto Networks, hanno individuato una serie di attacchi condotti tra gennaio e ottobre 2023 rivolti a realtà dei settori educativo e tecnologico in Israele. Il team di sicurezza ha attribuito la campagna ad Agonizing Serpens, gruppo APT legato all’Iran.
Conosciuto anche come Agrius, BlackShadow, Pink Sandstorm e DEV-0022, il gruppo ha colpito diverse organizzazioni per sottrarre dati sensibili come informazioni di identificazione personale e proprietà intellettuali. Ottenuti questi dati, Agonizing Serpens ha usato diversi wiper per coprire le proprie tracce e rendere inutilizzabili gli endpoint compromessi.
Unit 42 ha associato gli attacchi al gruppo iraniano per diverse motivazioni: in primo luogo, il wiper MultiLayer utilizzato nella campagna presenta numerose somiglianze nel codice e nella naming convention con Apostle e Fantasy, due wiper già documentati e legati ad Agonizing Serpens. Le similarità sono anche nel codice delle web shell, fatta eccezione per i nomi di variabili e funzioni.
Pixabay
Anche la natura distruttiva degli attacchi è associata alle attività del gruppo, così come gli obiettivi: la telemetria di Unit 42 ha rivelato che sono state colpite esclusivamente realtà israeliane.
Sembra che Agonizing Serpens abbia migliorato le proprie capacità negli ultimi mesi per aggirare i sistemi di rilevamento; per farlo ha utilizzato diversi tool di PoC e di penetration testing. Il gruppo è noto per aver eseguito attività di “fake-ransomware”, diversivi per far credere ai team di sicurezza che gli attacchi fossero ransomware e celare il vero obiettivo.
Oltre a MultiLayer, il gruppo ha utilizzato anche due nuovi wiper: BFG Agonizer e Partial Washer. Gli attaccanti hanno inoltre sviluppato un tool custom, Sqlextractor, che consente di estrarre record dai database dei server compromessi.
È probabile che le attività del gruppo aumentino nei prossimi mesi. Nonostante i tool di Palo Alto Networks siano riusciti a bloccare gli attacchi diretti ai propri clienti, l’attenzione rimane ai massimi livelli.
Condividi l'articolo
Gli attacchi dei bot malevoli diventano sempre più sofisticati
"Find My" di Apple può essere usato per sottrarre password e altri dati
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I ruoli di default di AWS consentono compromissioni e... I ricercatori di Aqua, firma di cybersecurity statunitense,... -
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo... -
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa Pwn2Own,... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi... -
Impennata degli attacchi automatizzati: i cybercriminali... Sono sempre di più gli attacchi automatizzati che...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
M&S perde un terzo dei profitti a causa di un attacco... La multinazionale britannica Mark & Spencer (M&S)... -
Spionaggio russo: scoperta una campagna attiva dal 2022 La CISA ha pubblicato un advisory di sicurezza dove... -
I ruoli di default di AWS consentono compromissioni e... I ricercatori di Aqua, firma di cybersecurity statunitense,...
-
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo...
-
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa...
Ransomware: la serie
No posts found.
