מגזרי ההשכלה הגבוהה והטכנולוגיה בישראל היו ממוקדים כחלק מסדרה של התקפות סייבר הרסניות שהחלו בינואר 2023 במטרה לפרוס תוכנות זדוניות מגב שלא תועדו בעבר.
הפריצות, שהתרחשו לאחרונה באוקטובר, יוחסו לצוות הפריצה של מדינת לאום איראנית שהיא עוקבת אחר תחת השם Agonizing Serpens, הידוע גם בשם Agrius, BlackShadow ו-Pink Sandstorm (לשעבר Americium).
"ההתקפות מאופיינות בניסיונות לגנוב נתונים רגישים, כגון מידע אישי מזהה (PII) וקניין רוחני", יחידה 42 של פאלו אלטו. אמר בדוח חדש ששותף עם The Hacker News.
"לאחר שהתוקפים גנבו את המידע, הם פרסו מגבים שונים שנועדו לכסות את עקבות התוקפים ולהפוך את נקודות הקצה הנגועות לבלתי שמישות".
זה כולל שלושה מגבים חדשים שונים כגון MultiLayer, PartialWasher ו-BFG Agonizer, כמו גם כלי מותאם לחילוץ מידע משרתי מסד נתונים הידועים בשם Sqlextractor.
פעיל מאז דצמבר 2020 לפחות, Agonizing Serpens נקשר להתקפות מגבים נגד ישויות ישראליות. מוקדם יותר בחודש מאי, צ'ק פוינט פירטה את השימוש של שחקן האיום בזן תוכנת כופר שנקרא Moneybird בהתקפותיה נגד המדינה.
מערך ההתקפות האחרון כולל הפעלת נשק אינטרנט פגיע מול שרתי אינטרנט כנתיבי גישה ראשוניים לפריסת קונכיות אינטרנט ולערוך איתור של רשתות הקורבנות וגניבת אישורים של משתמשים בעלי הרשאות ניהול.
שלב תנועה לרוחב מלווה בחילוץ נתונים באמצעות שילוב של כלים ציבוריים ומותאמים אישית כמו Sqlextractor, WinSCP ו-PuTTY, ולבסוף מספקים את תוכנת המגב –
- רב שכבתיתוכנה זדונית .NET המונה קבצים למחיקה או להשחיתם בנתונים אקראיים כדי להתנגד למאמצי השחזור ולהפוך את המערכת לבלתי שמישה על ידי מחיקת סקטור האתחול.
- מכונת כביסה חלקיתתוכנה זדונית מבוססת C++ לסריקת כוננים ומחיקת תיקיות שצוינו ותיקיות המשנה שלה.
- BFG Agonizerתוכנה זדונית המסתמכת במידה רבה על פרויקט קוד פתוח בשם CRYLINE-v5.0.
הקישורים לאגריוס נובעים מחפיפות קוד מרובות עם משפחות תוכנות זדוניות אחרות כמו שליח, עוזר IPsecו פנטזיהאשר זוהו כמשמשים בעבר על ידי הקבוצה.
"נראה שקבוצת Agonizing Serpens APT שדרגה לאחרונה את היכולות שלהם והם משקיעים מאמצים ומשאבים רבים כדי לנסות לעקוף את ה-EDR ואמצעי אבטחה אחרים", אמרו חוקרי יחידה 42.
"כדי לעשות זאת, הם הסתובבו בין שימוש בכלים ידועים שונים של הוכחת מושג (PoC) וכלי בדיקה, כמו גם בכלים מותאמים אישית."
