Cyberthreat.id – Hacker Iran, Agonizing Serpens, dikaitkan dengan serangan siber yang menyasar Pendidikan tinggi dan teknologi Israel. Serangan yang disebut sudah berlangsung sejak Januari 2023 itu bertujuannya menyebarkan malware wiper yang sebelumnya tidak terdokumentasikan.  

Intrusi tersebut, yang terjadi baru-baru ini pada bulan Oktober, tulis The Hacker News, juga dikaitkan dengan Hacker Iran tersebut. Hacker ini memiliki sejumlah julukan. Selain Agonizing Serpens, juga dikenal sebagai Agrius, BlackShadow, dan Pink Sandstorm (sebelumnya Americium).

“Serangan ini ditandai dengan upaya mencuri data sensitif, seperti informasi pengenal pribadi (PII) dan kekayaan intelektual,” kata Palo Alto Networks Unit 42 dalam laporan baru yang dibagikan kepada The Hacker News.

“Setelah penyerang mencuri informasi, mereka mengerahkan berbagai wiper yang dimaksudkan untuk menutupi jejak penyerang dan membuat titik akhir yang terinfeksi tidak dapat digunakan.”

Ini mencakup tiga wiper baru yang berbeda seperti MultiLayer, PartialWasher, dan BFG Agonizer, serta alat khusus untuk mengekstrak informasi dari server database yang dikenal sebagai Sqlextractor.

Aktif setidaknya sejak Desember 2020, Agonizing Serpens telah dikaitkan dengan serangan wiper yang menargetkan entitas Israel.

Awal bulan Mei ini, Check Point merinci penggunaan jenis ransomware yang disebut Moneybird oleh pelaku ancaman dalam serangannya yang menargetkan negara tersebut.

Serangkaian serangan terbaru memerlukan penggunaan server web yang rentan terhadap internet sebagai rute akses awal untuk menyebarkan web shell dan melakukan pengintaian terhadap jaringan korban dan mencuri kredensial pengguna dengan hak administratif.

Fase pergerakan lateral diikuti oleh eksfiltrasi data menggunakan campuran alat publik dan khusus seperti Sqlextractor, WinSCP, dan PuTTY, dan akhirnya mengirimkan malware wiper:

• MultiLayer, malware .NET yang menghitung file untuk dihapus atau dirusak dengan data acak untuk menolak upaya pemulihan dan membuat sistem tidak dapat digunakan dengan menghapus sektor boot.
• PartialWasher, malware berbasis C++ untuk memindai drive dan menghapus folder tertentu serta subfoldernya.
• BFG Agonizer, malware yang sangat bergantung pada proyek sumber terbuka bernama CRYLINE-v5.0.

Tautan ke Agrius berasal dari beberapa kode yang tumpang tindih dengan keluarga malware lain seperti Rasul, IPsec Helper, dan Fantasy, yang telah diidentifikasi sebelumnya digunakan oleh grup tersebut.

“Tampaknya kelompok APT Agonizing Serpens baru-baru ini meningkatkan kemampuan mereka dan mereka menginvestasikan upaya dan sumber daya yang besar untuk mencoba menerobos EDR dan tindakan keamanan lainnya,” kata peneliti Unit 42.

“Untuk melakukan hal ini, mereka telah bergantian menggunakan alat proof-of-concept (PoC) dan pentesting yang berbeda serta alat khusus.”[]