以色列高等教育和科技行业成为 2023 年 1 月开始的一系列破坏性网络攻击的目标，其目的是部署以前未记录的擦除恶意软件。

这些入侵发生在 10 月份，被归咎于一个伊朗民族国家黑客组织，该组织以 Agonizing Serpens 为名进行追踪，该组织也被称为 Agrius、BlackShadow 和 Pink Sandstorm（以前称为 Americium）。

Palo Alto Networks Unit 42在与 The Hacker News 分享的一份新报告中表示：“这些攻击的特点是试图窃取敏感数据，例如个人身份信息 (PII) 和知识产权。”

“一旦攻击者窃取了信息，他们就会部署各种擦除器，旨在掩盖攻击者的踪迹并使受感染的端点无法使用。”

其中包括三种不同的新颖擦拭器，例如 MultiLayer、PartialWasher 和 BFG Agonizer，以及用于从称为 Sqlextractor 的数据库服务器提取信息的定制工具。

Agonizing Serpens 至少自 2020 年 12 月起就活跃，与针对以色列实体的擦除器攻击有关。今年 5 月初，Check Point 详细介绍了威胁行为者在针对该国的攻击中使用名为Moneybird 的勒索软件菌株的情况。

最新的一组攻击需要将易受攻击的面向互联网的 Web 服务器武器化，作为部署 Web shell 的初始访问路由，并对受害者网络进行侦察，并窃取具有管理权限的用户的凭据。

横向移动阶段之后是使用 Sqlextractor、WinSCP 和 PuTTY 等公共和自定义工具的组合进行数据泄露，最后交付擦除器恶意软件 –

• MultiLayer是一种 .NET 恶意软件，它会枚举文件以进行删除或使用随机数据损坏它们，以阻止恢复工作并通过擦除引导扇区使系统无法使用。
• PartialWasher是一种基于 C++ 的恶意软件，用于扫描驱动器并擦除指定文件夹及其子文件夹。
• BFG Agonizer是一种严重依赖于名为CRYLINE-v5.0 的开源项目的恶意软件。

与 Agrius 的链接源于与Apostle、IPsec Helper和Fantasy等其他恶意软件家族的多个代码重叠，这些恶意软件家族已被确定为该组织之前使用过的。

Unit 42 研究人员表示：“看来 Agonizing Serpens APT 组织最近升级了他们的能力，他们正在投入巨大的努力和资源，试图绕过 EDR 和其他安全措施。”

“为此，他们一直在使用不同的已知概念验证 (PoC) 和渗透测试工具以及自定义工具。”