大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
与伊朗有关的“Agonizing Serpens”组织自一月份以来一直针对以色列组织发动破坏性的网络攻击。
与伊朗有关的 Agonizing Serpens 组织(又名 Agrius、 BlackShadow、 Pink Sandstorm、 DEV-0022)自 2023 年 1 月以来一直针对以色列高等教育和科技领域的组织发动破坏性的网络攻击。
Palo Alto Networks 的 Unit 42 研究人员报告称,威胁行为者首先试图窃取敏感数据(即个人身份信息 (PII) 和知识产权),然后部署各种擦除器来掩盖踪迹。
研究人员观察到威胁行为者使用三个以前未知的擦除器(分别名为 MultiLayer、PartialWasher)和一个名为 Sqlextractor 的自定义工具来从数据库服务器中提取信息。
工具 sqlextractor(二进制名称 sql.net4.exe)允许威胁行为者查询 SQL 数据库并提取敏感的 PII 数据,例如身份证号码、护照扫描、电子邮件和完整地址。
Agonizing Serpens 自 2020 年 12 月以来一直活跃,以针对以色列组织的破坏性擦除和假勒索软件攻击而闻名。
威胁行为者最初通过利用面向互联网的 Web 服务器中的已知漏洞来访问目标基础设施。然后,攻击者部署了多个 Web Shell 以在网络中立足。
“威胁者在所描述的攻击中使用的 Web shell 包含与 之前 Agonizing Serpens 攻击中观察到的 Web shell 相同的代码,只是函数命名有所不同。这些 Web shell 似乎是 ASPXSpy 的变体。” Unit 42 发布的报告写道。
威胁行为者部署 Web Shell 后不久,他们就开始使用各种已知和公开可用的扫描仪进行侦察,以绘制网络图并窃取具有管理权限的用户凭据。
攻击者试图使用不同的公开可用工具(包括 WinSCP 和 Putty)窃取受害者的信息
“这次攻击是针对以色列组织的更广泛攻击活动的一部分。根据我们的遥测,最受攻击的组织属于教育和技术部门。”报告总结道,其中还包括入侵指标 (IoC)。“我们的调查发现了该组织武器库中的新工具,包括一组三个之前未记录的擦除器以及一个数据库提取工具。对新擦除器的分析显示,该组织已升级其能力,重点关注旨在绕过 EDR 技术等安全解决方案的隐身和规避技术。”
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):伊朗APT AGONIZING SERPENS针对以色列实体发动破坏性网络攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论