Les auteurs de l’attaque ont des liens étroits avec un groupe APT soutenu par l’Iran, que l’Unit 42 suit sous le nom d’Agonizing Serpens (alias Agrius), actif depuis 2020. Le groupe est connu pour ses cyber attaques destructrices de type Wiper (malware d’effacement dit “essuie-glaces” en Français car il efface toutes les données des ordinateurs de ses victimes) et de faux ransomwares qui ciblent principalement les organisations israéliennes.
Les attaques, qui ont débuté en janvier 2023 et se sont poursuivies jusqu’en octobre 2023, se caractérisent par des tentatives de vol de données sensibles, notamment des informations personnellement identifiables (PII) et de propriété intellectuelle.

L’équipe de recherche de l’Unit 42 met en évidence plusieurs découvertes :

• Les attaques d’Agonizing Serpens (alias Agrius) ont généralement deux objectifs principaux : voler des informations sensibles et infliger des dégâts considérables en effaçant les données des terminaux qu’elles affectent.
• A l’occasion de ces attaques, leurs auteurs ont volé des informations sensibles, notamment des informations personnelles et des propriétés intellectuelles des organisations ciblées, et les ont publiées sur les réseaux sociaux ou sur les chaînes Telegram dans le but probable de faire peur ou de nuire à leur réputation.
• L’analyse de ces nouveaux Wiper révèle que le groupe a amélioré ses capacités, en mettant l’accent sur les techniques furtives et évasives conçues pour contourner les solutions de sécurité telles que la technologie EDR.
• Les chercheurs de l’Unit 42 ont identifié 3 nouveaux Wiper et 1 outil d’extraction de base de données qu’Agonizing Serpens a utilisés lors de leurs attaques les plus récentes :
o Wiper multicouche
o Wiper PartialWasher
o Wiper BFG Agonizer
o Sqxtractor - un outil personnalisé pour extraire des informations des serveurs de bases de données

Qui est le groupe APT Agonizing Serpens ?
Agonizing Serpens (alias Agrius) est un groupe APT lié à l’Iran qui est actif depuis 2020. Bien que des rapports antérieurs sur ces attaques mentionnent des ransomwares et des notes de rançon, ceux-ci se sont avérés être une ruse (une tendance notée dans le rapport 2023 de l’Unit 42 2023 dédié aux Ransomware et cyber extorsion). Lors des attaques les plus récentes, les attaquants n’ont pas demandé de rançon – le résultat des attaques a plutôt été une perte considérable de données et des perturbations des activités.

Sur la base du modèle d’attribution de l’Unit 42, les chercheurs évaluent avec un niveau de confiance élevé que les attaques décrites dans cette analyse ont été perpétrées par le groupe APT Agonizing Serpens, lié à l’Iran. Cette évaluation se fonde sur les raisons et preuves suivantes :
• Les similitudes de code multiples dans les wipers : l’analyse du wiper MultiLayer dans cette analyse montre plusieurs similitudes de code et une convention de dénomination similaire qui a précédemment documenté les Wiper Agonizing Serpens connus sous le nom d’Apostle, son successeur Fantasy et la porte dérobée IPsec Helper.
• La similarité du code dans les web shells : les attaquants ont utilisé des variantes de web shells qui consistaient en le même code, à l’exception des noms de variables et de fonctions qui sont remplacés pour chaque échantillon.
• Le caractère destructeur des attaques : la dernière étape des attaques met en œuvre un politique de « terre brûlée », utilisant des Wiper personnalisés pour rendre les terminaux inutilisables et brouiller les traces des assaillants. Ceci est conforme à tous les rapports précédents sur l’activité du groupe.
• Le ciblage des organisations israéliennes : la télémétrie de l’Unit 42 n’a pas détecté d’organisations non israéliennes touchées par les attaques. Ce groupe APT semble spécifiquement cibler des entités israéliennes.