与伊朗有关的 Agonizing Serpens 组织(又名 Agrius、 BlackShadow、 Pink Sandstorm、 DEV-0022)自 2023 年 1 月以来一直针对以色列高等教育和科技领域的组织发动破坏性的网络攻击。
Palo Alto Networks 的 Unit 42 研究人员报告称,威胁行为者首先试图窃取敏感数据(即个人身份信息 (PII) 和知识产权),然后部署各种擦除器来掩盖踪迹。
研究人员观察到威胁行为者使用三个以前未知的擦除器(分别名为 MultiLayer、PartialWasher)和一个名为 Sqlextractor 的自定义工具来从数据库服务器中提取信息。
工具 sqlextractor(二进制名称 sql.net4.exe)允许威胁行为者查询 SQL 数据库并提取敏感的 PII 数据,例如身份证号码、护照扫描、电子邮件和完整地址。
Agonizing Serpens 自 2020 年 12 月以来一直活跃,以针对以色列组织的破坏性擦除和假勒索软件攻击而闻名。
威胁行为者最初通过利用面向互联网的 Web 服务器中的已知漏洞来访问目标基础设施。然后,攻击者部署了多个 Web Shell 以在网络中立足。
“威胁者在所描述的攻击中使用的 Web shell 包含与 之前 Agonizing Serpens 攻击中观察到的 Web shell 相同的代码,只是函数命名有所不同。这些 Web shell 似乎是 ASPXSpy 的变体。” Unit 42 发布的报告写道。
威胁行为者部署 Web Shell 后不久,他们就开始使用各种已知和公开可用的扫描仪进行侦察,以绘制网络图并窃取具有管理权限的用户凭据。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/35330.html
