据网络安全公司 Palo Alto Networks 报道，自 2023 年 1 月以来，一名伊朗高级持续威胁 (APT) 攻击者一直使用擦除器针对以色列的高等教育和技术组织。

这些入侵发生在 10 月份，被归咎于一个伊朗民族国家黑客组织，该组织被命名为 Agonizing Serpens（痛苦巨蛇） ，其他名称有 Agrius、BlackShadow 和 Pink Sandstorm（以前称为 Americium）。

该组织一直在发动间谍活动和破坏性攻击，主要针对以色列和阿联酋实体，去年也被发现针对南非的一家钻石工业公司。

Palo Alto Networks Unit 42在与一份新报告（https://unit42.paloaltonetworks.com/agonizing-serpens-targets-israeli-tech-higher-ed-sectors）中表示：“这些攻击的特点是试图窃取敏感数据，例如个人身份信息 (PII) 和知识产权。”

“一旦攻击者窃取了信息，他们就会部署各种擦除器，旨在掩盖攻击者的踪迹并使受感染的端点无法使用。”

其中包括三种不同的新的擦除器，如 MultiLayer、PartialWasher 和 BFG Agonizer，以及用于从称为 Sqlextractor 的数据库服务器提取信息的定制工具。

Agonizing Serpens 组织至少自 2020 年 12 月起就活跃，与针对以色列实体的擦除器攻击有关。今年 5 月初，Check Point 详细介绍了黑客组织在针对该国的攻击中使用名为Moneybird 的勒索软件的情况。

最新的一组攻击需要将易受攻击的面向互联网的 Web 服务器武器化，作为部署 Web shell 的初始访问路由，并对受害者网络进行侦察，并窃取具有管理权限的用户的凭据。

横向移动阶段之后是使用 Sqlextractor、WinSCP 和 PuTTY 等公共和自定义工具的组合进行数据泄露，最后交付擦除器恶意软件。

• MultiLayer是一种.NET恶意软件，它会枚举文件以进行删除或使用随机数据损坏它们，以阻止恢复工作并通过擦除引导扇区使系统无法使用。
• PartialWasher是一种基于C++ 的恶意软件，用于扫描驱动器并擦除指定文件夹及其子文件夹。
• BFG Agonizer是一种严重依赖于名为CRYLINE-v5.0 的开源项目的恶意软件。

与 Agrius 的链接源于与Apostle、IPsec Helper和Fantasy等其他恶意软件家族的多个代码重叠，这些恶意软件家族已被确定为该组织之前使用过的。

Unit 42 研究人员表示：“Agonizing Serpens APT 组织最近升级了他们的能力，他们正在投入巨大的努力和资源，试图绕过 EDR 和其他安全措施。”

他们一直在使用不同的已知概念验证 (PoC) 和渗透测试工具以及自定义工具。

---

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/KquLImwCrxx5k6l9zGKfdQ

封面来源于网络，如有侵权请联系删除