Agonizing serpens kampány Izraelben
A Unit 42 kutatói egy sor pusztító kibertámadást vizsgáltak, amelyek 2023 januárjában kezdődnek és 2023 októberéig tartottak Izrael oktatási és technológiai szektora ellen. A támadásokat érzékeny adatok – például személyazonosításra alkalmas információk és szellemi tulajdon – ellopására irányultak. Miután a támadók ellopták az információkat, különféle adattörlőket (wipers) telepítettek a támadók nyomainak elfedésére és a fertőzött végpontok használhatatlanná tételére. Ilyenek a MultiLayer, PartialWasher és BFG Agonizer, valamint egy testre szabott eszközt az adatbázis-kiszolgálókból való információ kinyerésére, az Sqlextractor néven.
A Unit 42 vizsgálata során kiderült, hogy a támadások elkövetői szoros kapcsolatban állnak egy iráni támogatású APT csoporttal, mint Agonizing Serpens (más néven Agrius, BlackShadow, Pink Sandstorm, DEV-0022). Az Agriusra mutató hivatkozások abból erednek, hogy a kód többszörös átfedésben van más rosszindulatú programcsaládokkal, mint például az Apostle, az IPsec Helper és a Fantasy, amelyeket korábban a csoport által használt eszközökként azonosítottak.
A támadások sorozata kihasználta a sebezhető, internetre nyitott webszervereket, mint kezdeti hozzáférési útvonalat a webshell telepítéséhez, az áldozati hálózatok felderítéséhez és a rendszergazdai jogosultságokkal rendelkező felhasználók hitelesítő adatainak ellopásához.