Неизвестный вирус иранской группы Agonizing Serpens очищает сети Израиля

В сфере высшего образования и технологий Израиля с января 2023 года наблюдается серия разрушительных кибератак с использованием ранее неизвестного вредоносного ПО для удаления данных. Согласно отчёту компании Palo Alto Networks Unit 42, атаки, последняя из которых произошла в октябре, были направлены на кражу чувствительных данных, включая личную информацию и интеллектуальную собственность.

Иранская группировка Agonizing Serpens использовала различные вайперы для удаления следов и вывода из строя заражённых конечных точек. Среди вредоносных программ — три новых вайпера: MultiLayer, PartialWasher и BFG Agonizer, а также специальный инструмент Sqlextractor для извлечения информации из серверов баз данных и сбора конфиденциальной информации, такой как идентификационные номера, сканы паспортов, электронные адреса и места жительства. Вот описания инструментов, которые использует группа:

• MultiLayer — вредоносная программа на базе .NET, которая перечисляет файлы для удаления или повреждения их случайными данными, чтобы противостоять попыткам восстановления и сделать систему непригодной для использования путем очистки загрузочного сектора.
• PartialWasher — вредоносная программа на основе C++, предназначенная для сканирования дисков и очистки указанных папок.
• BFG Agonizer — вредоносное ПО, которое в значительной степени опирается на программу-вымогатель с открытым исходным кодом CRYLINE-v5.0 .

Группа Agonizing Serpens (Agrius, BlackShadow и Pink Sandstorm) активна с декабря 2020 года и связана с атаками на израильские цели. В мае Check Point подробно описала использование группой Agrius программы-вымогателя Moneybird в своих атаках на страну.

В последних атаках киберпреступники использовали уязвимые веб-серверы для первоначального доступа, развертывания веб-оболочек, разведки сетей жертв и кражи учётных данных пользователей с административными привилегиями. Затем происходит боковое перемещение (Lateral Movement) и эксфильтрация данных с помощью различных инструментов, включая Sqlextractor, WinSCP и PuTTY, и, в конечном итоге, доставка вредоносного ПО.

Учитывая последние события, исследователи Unit 42 считают, что группа Agonizing Serpens значительно усовершенствовала свои возможности и прилагает значительные усилия для обхода средств обнаружения вторжений и других мер безопасности, в том числе путём использования различных известных инструментов и пользовательских решений.