Onderzoek Palo Alto Networks: Israëlische organisaties doelwit van destructieve aanvallen door dreigingsgroep Agonizing Serpens
Amsterdam, 6 november 2023 – Vandaag publiceert Unit 42, de onderzoeksgroep van Palo Alto Networks, een onderzoek dat een reeks destructieve cyberaanvallen onthult die gericht zijn op de Israëlische onderwijs- en technologie industrie.
De aanvallers hebben sterke banden met een door Iran gesteunde APT-groep die Unit 42 volgt als Agonizing Serpens (ook bekend als Agrius). Deze groep is actief sinds 2020 en staat bekend om zijn destructieve wiper- en fake ransomware-aanvallen. Agonizing Serpens richt zich voornamelijk op Israëlische organisaties in verschillende sectoren en landen.
De aanvallen, die zijn begonnen in januari 2023 en zijn doorgegaan tot oktober 2023, worden gekenmerkt door pogingen om gevoelige gegevens te stelen, waaronder persoonlijk identificeerbare informatie (PII) en intellectueel eigendom. Deze pogingen maken deel uit van een bredere aanvalscampagne gericht op Israëlische organisaties.
Unit 42 heeft het volgende ontdekt:
- Aanvallen van Agonizing Serpens hebben meestal twee hoofddoelen: het stelen van gevoelige informatie en het toebrengen van aanzienlijke schade door zoveel mogelijk endpoints te wissen.
- Bij deze aanvallen stalen de bedreigingsactoren gevoelige informatie, waaronder PII en intellectueel eigendom, die zij daarna publiceerden op sociale media of Telegram-kanalen. Dit waarschijnlijk met het doel om angst te zaaien of reputatieschade aan te richten.
- Analyse van de nieuwe wipers laat zien dat de groep zijn werkwijzen heeft uitgebreid, waarbij de nadruk ligt op stealth en ontwijkende technieken die zijn ontworpen om beveiligingsoplossingen zoals EDR-technologie te omzeilen.
Unit 42 heeft 3 nieuwe wipers en 1 database extractor tool geïdentificeerd die Agonizing Serpens heeft gebruikt in zijn meest recente aanvallen:
- MultiLayer wiper
- PartialWasher wiper
- BFG Agonizer wiper
- Sqlextractor – een op maat gemaakt hulpmiddel om informatie uit databaseservers op te halen
Het volledige blog over deze aanval kun je hier vinden.
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.