Иранские хакеры атакуют образовательный сектор и IT-компании в Израиле

Согласно отчету компании Palo Alto Networks Unit 42, в сфере высшего образования и технологий Израиля с января 2023 года наблюдается серия разрушительных кибератак с использованием ранее неизвестного вредоносного ПО для удаления данных. Атаки, последняя из которых произошла в октябре, были направлены на кражу чувствительных данных, включая личную информацию и интеллектуальную собственность.

В отчете компании Palo Alto Networks Unit 42 сказано, что иранская группировка Agonizing Serpens использовала различные вайперы для удаления следов и вывода из строя зараженных конечных точек. Среди вредоносных программ – три новых вайпера: MultiLayer, PartialWasher и BFG Agonizer, а также специальный инструмент Sqlextractor для извлечения информации из серверов баз данных и сбора конфиденциальной информации, такой как идентификационные номера, сканы паспортов, электронные адреса и места жительства.

MultiLayer – вредоносная программа на базе .NET, которая перечисляет файлы для удаления или повреждения их случайными данными, чтобы противостоять попыткам восстановления и сделать систему непригодной для использования путем очистки загрузочного сектора.

• Читайте также: 
• Microsoft: на Израиль обрушилась серия кибератак из сектора Газа
• Хакеры сообщают об успешных атаках на инфраструктуру электроснабжения Израиля
• Тревога на севере – техническая ошибка или хакерская атака?

PartialWasher – вредоносная программа на основе C++, предназначенная для сканирования дисков и очистки указанных папок.

BFG Agonizer – вредоносное ПО, которое в значительной степени опирается на программу-вымогатель с открытым исходным кодом CRYLINE-v5.0 .

Группа Agonizing Serpens (Agrius, BlackShadow и Pink Sandstorm) активна с декабря 2020 года и связана с атаками на израильские цели. Agrius известна своими разрушительными атаками на Израиль, в которых хакеры делают вид, будто шифруют файлы с целью получения выкупа, но на самом деле уничтожают их. Microsoft полагает, что ее курирует министерство разведки и безопасности Ирана (MOIS), которое также управляет группировкой MuddyWater, активной с 2020 года. В мае Check Point подробно описала использование группой Agrius программы-вымогателя Moneybird в своих атаках.

Исследователи Unit 42 считают, что группа Agonizing Serpens значительно усовершенствовала свои возможности и прилагает значительные усилия для обхода средств обнаружения вторжений и других мер безопасности, в том числе путем использования различных известных инструментов и пользовательских решений.

«Детали», Ю.Л. Фото: Depositphotos.com √