Eine mutmaßlich vom iranischen Geheimdienst unterstützte Hackergruppe namens Agonizing Serpens greift den Bildungs- und Technologiesektor in Israel an. | A hacker group called Agonizing Serpens, allegedly backed by Iranian intelligence, is attacking Israel’s education and technology sectors. |
|---|---|
| Die Forscher von Palo Alto Networks, die Unit 42, haben eine Reihe von zerstörerischen Cyberangriffen untersucht, die im Januar 2023 begannen und bis Oktober 2023 andauerten und auf den Bildungs- und Technologiesektor in Israel abzielten.
Die Angriffe zeichneten sich durch den Versuch aus, sensible Daten wie personenbezogene Daten und geistiges Eigentum zu stehlen. Sobald die Angreifer die Informationen gestohlen hatten, setzten sie verschiedene Wiper ein, um ihre Spuren zu verwischen und die infizierten Endgeräte unbrauchbar zu machen.
Unsere Untersuchungen ergaben, dass die Angreifer enge Verbindungen zu einer vom Iran unterstützten APT-Gruppe haben, die von Unit 42 unter dem Namen Agonizing Serpens (auch bekannt als Agrius, BlackShadow, Pink Sandstorm, DEV-0022) verfolgt wird.
Den Forschern von Unit 42 ist es außerdem gelungen, neue Wiper und Tools zu identifizieren, die Agonizing Serpens bei seinen jüngsten Angriffen eingesetzt hat:
MultiLayer-Wiper PartialWasher-Wischer BFG Agonizer-Wischer Sqlextractor – ein benutzerdefiniertes Tool zum Extrahieren von Informationen aus Datenbankservern Aufgrund forensischer Beweise scheint die APT Agonizing Serpens Gruppe ihre Fähigkeiten in letzter Zeit verbessert zu haben. Sie investieren große Anstrengungen und Ressourcen in den Versuch, Endpoint Detection and Response (EDR) und andere Sicherheitsmaßnahmen zu umgehen. Zu diesem Zweck verwenden sie abwechselnd verschiedene bekannte Proof-of-Concept (PoC)- und Pentesting-Tools sowie eigene Tools.
Bei den im Folgenden beschriebenen Angriffen ist es dem Angreifer nicht gelungen, Cortex XDR zu umgehen. Cortex XDR und XSIAM erkennen und verhindern den beschriebenen Ausführungsfluss. Darüber hinaus erstellen sie durch maschinelles Lernen Verhaltensprofile der Benutzeraktivitäten über die Zeit und können so anomale Aktivitäten erkennen, die beispielsweise auf Angriffe mit Zugangsdaten hindeuten.
Palo Alto Networks stellt diese Forschungsergebnisse zur Verfügung, um Erkennungs-, Präventions- und Bekämpfungsempfehlungen bereitzustellen, die Unternehmen dabei helfen, sich gegen Bedrohungen durch Agonizing Serpens zu schützen. Wer ist die APT-Gruppe „Agonizing Serpens“? Agonizing Serpens (alias Agrius) ist eine mit dem Iran verbundene APT-Gruppe, die seit 2020 aktiv ist. Die Gruppe ist für ihre zerstörerischen Wiper- und Fake-Ransomware-Angriffe bekannt und zielt hauptsächlich auf israelische Organisationen in verschiedenen Branchen und Ländern ab.
Obwohl in früheren Berichten über diese Angriffe Ransomware und Lösegeldforderungen erwähnt wurden, erwiesen sich diese als Täuschung (ein Trend, der im Unit 42 Ransomware and Extortion Report 2023 festgestellt wurde). Bei den jüngsten Angriffen verlangten die Angreifer kein Lösegeld – die potenzielle Folge der Angriffe war vielmehr ein enormer Datenverlust und eine Unterbrechung der Geschäftskontinuität.
Angriffe von Agonizing Serpens verfolgen in der Regel zwei Hauptziele: Das erste ist der Diebstahl sensibler Informationen, darunter personenbezogene Daten und geistiges Eigentum, die die Bedrohungsakteure dann in sozialen Medien oder Telegram-Kanälen veröffentlichen. Die Motivation für die Veröffentlichung in sozialen Medien ist wahrscheinlich, Angst zu verbreiten oder den Ruf zu schädigen. Das zweite Ziel ist es, Chaos zu stiften und durch das Löschen so vieler Endgeräte wie möglich erheblichen Schaden anzurichten.
Seit ihrem Auftauchen hat die Gruppe neue benutzerdefinierte Tools entwickelt und nutzt auch bekannte Hacking-Tools und -Techniken, um ihre aggressiven Operationen auszuführen.
Technische Analyse In den folgenden Abschnitten werden die verschiedenen Phasen eines kürzlich von Agonizing Serpens im Oktober 2023 durchgeführten Vorfalls beschrieben, wie sie von den Forschern von Unit 42 analysiert wurden.
Zugangsvektor Die Angreifer verschafften sich zunächst Zugang zu der Umgebung, indem sie anfällige, dem Internet zugewandte Webserver ausnutzten. Anschließend setzten sie mehrere Web-Shells ein, mit denen sie im Netzwerk Fuß fassen konnten.
Die Web-Shells, die die Bedrohungsakteure bei dem beschriebenen Angriff verwendet haben (siehe Abbildung 1), enthalten denselben Code wie Web-Shells, die bei früheren Agonizing-Serpens-Angriffen beobachtet wurden, mit Abweichungen bei der Benennung der Funktionen. Die Web-Shells scheinen Variationen von ASPXSpy zu sein. | Unit 42 researchers have investigated a series of destructive cyberattacks beginning in January 2023 and continuing as recently as October 2023, targeting the education and technology sectors in Israel. The attacks are characterized by attempts to steal sensitive data, such as personally identifiable information (PII) and intellectual property. Once the attackers stole the information, they deployed various wipers intended to cover the attackers’ tracks and to render the infected endpoints unusable. Our investigation revealed the perpetrators of the attacks have strong connections to an Iranian-backed APT group Unit 42 tracks as Agonizing Serpens (aka Agrius, BlackShadow, Pink Sandstorm, DEV-0022). Unit 42 researchers were also able to identify novel new wipers and tools that Agonizing Serpens used in their most recent attacks:
Based on forensic evidence, it appears that the Agonizing Serpens APT group has recently upgraded their capabilities and they are investing great efforts and resources to attempt to bypass endpoint detection and response (EDR) and other security measures. To do so, they have been rotating between using different known proof of concept (PoC) and pentesting tools as well as custom tools. For the attacks described below, the attacker was unsuccessful at bypassing Cortex XDR. Cortex XDR and XSIAM detect and prevent the execution flow described. They also build behavioral profiles of user activity over time with machine learning, allowing them to detect anomalous activity indicative of, for example, credential-based attacks. We are sharing this research to provide detection, prevention and hunting recommendations to help organizations protect against the threats associated with Agonizing Serpens. Who Is the Agonizing Serpens APT Group? Agonizing Serpens (aka Agrius) is an Iranian-linked APT group that has been active since 2020. The group is known for its destructive wiper and fake-ransomware attacks and mainly targets Israeli organizations across multiple industries and countries. Though earlier reports of these attacks mentioned ransomware and ransom notes, these turned out to be a ruse (a trend noted in the 2023 Unit 42 Ransomware and Extortion Report). In the most recent attacks, the attackers did not request ransom – rather, the potential result of the attacks was vast data loss and disruptions of business continuity. Attacks from Agonizing Serpens usually have two main goals, the first being stealing sensitive information that includes PII and intellectual property, which threat actors then publish on social media or Telegram channels. It seems likely that their motivation to publish on social media is to sow fear or inflict reputational damage. The second goal is wreaking havoc and inflicting considerable damage by wiping as many endpoints as possible. Since its emergence, the group has developed new custom tools and they have also leveraged known hacking tools and techniques to carry out their aggressive operations. Technical Analysis The following sections detail the different stages of a recent incident carried out by Agonizing Serpens in October 2023, as analyzed by Unit 42 researchers. Entry Vector The attackers gained initial access to the environment by exploiting vulnerable internet facing web servers. Subsequently, they deployed multiple web shells, which granted them a foothold in the network. The web shells that threat actors used in the described attack (shown in Figure 1) contain the same code as web shells that were observed in previous Agonizing Serpens attacks, with variations to the naming of functions. The web shells appear to be variations of ASPXSpy. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de