Moses Staff Hackers richten zich op Israëlische organisaties voor cyberspionage

Moses Staff Hackers Nachrichten

De politiek gemotiveerde Mozes Staf hackergroep is geobserveerd met behulp van een aangepaste multi-componenten toolset met als doel spionage uit te voeren tegen zijn doelen als onderdeel van een nieuwe campagne die uitsluitend Israëlische organisaties uitkiest.

Voor het eerst publiekelijk gedocumenteerd eind 2021, wordt aangenomen dat Moses Staff wordt gesponsord door de Iraanse regering, met aanvallen gemeld tegen entiteiten in Israël, Italië, India, Duitsland, Chili, Turkije, de VAE en de VS

Eerder deze maand werd het hackercollectief waargenomen met een voorheen ongedocumenteerde trojan voor externe toegang (RAT) genaamd “StrifeWater”, die zich voordoet als de Windows Calculator-app om detectie te omzeilen.

“Bij nader onderzoek blijkt dat de groep al meer dan een jaar actief is, veel eerder dan de eerste officiële publieke blootstelling van de groep, en erin slaagde onder de radar te blijven met een extreem lage detectiegraad”, bevindingen van FortiGuard Labs onthullen.

De nieuwste bedreigingsactiviteit omvat een aanvalspad dat gebruikmaakt van de ProxyShell-kwetsbaarheid in Microsoft Exchange-servers als een initiële infectievector om twee webshells te implementeren, gevolgd door het exfiltreren van Outlook-gegevensbestanden (.PST) van de gecompromitteerde server.

Volgende fasen van de infectieketen omvatten een poging om inloggegevens te stelen door de geheugeninhoud van een kritiek Windows-proces genaamd Local Security Authority Subsystem Service (Lsass.exe), voordat u de “StrifeWater”-achterdeur (broker.exe) laat vallen en laadt.

De installatie van het “Broker”-implantaat, dat wordt gebruikt om opdrachten uit te voeren die zijn opgehaald van een externe server, bestanden te downloaden en gegevens van doelnetwerken te exfiltreren, wordt vergemakkelijkt door een loader die zich voordoet als een “Hard Disk Drives Fast Stop Service” genaamd ” DriveGuard” (drvguard.exe).

Bovendien is de loader ook verantwoordelijk voor het starten van een watchdog-mechanisme (“lic.dll”) dat ervoor zorgt dat zijn eigen service nooit wordt onderbroken door de DriveGuard elke keer dat deze wordt gestopt opnieuw te starten en ervoor te zorgen dat de loader is geconfigureerd om automatisch te werken bij het opstarten van het systeem.

De achterdeur van de broker is van zijn kant ook uitgerust om zichzelf van de schijf te verwijderen met behulp van een CMD-opdracht, schermafbeeldingen te maken en de malware bij te werken om de huidige module op het systeem te vervangen door een bestand dat van de server is ontvangen.

StrifeWater valt ook op door zijn pogingen om onder de radar te blijven door zich voor te doen als de Windows Calculator-app (calc.exe), waarbij FortiGuard Labs-onderzoekers twee oudere monsters ontdekten die dateren van eind december 2020, wat suggereert dat de campagne operationeel was voor meer dan een jaar.

De toeschrijving aan Moses Staff is gebaseerd op overeenkomsten in de webshells die zijn gebruikt bij eerder onthulde aanvallen en het patroon van victimologie.

“De groep is zeer gemotiveerd, capabel en gericht op het beschadigen van Israëlische entiteiten”, aldus de onderzoekers. “Op dit moment blijven ze afhankelijk van 1-daagse exploits voor hun eerste inbraakfase. Hoewel de aanvallen die we identificeerden werden uitgevoerd voor spionagedoeleinden, neemt dit niet de mogelijkheid weg dat de operators later overgaan tot destructieve maatregelen.”

David
Rate author
Hackarizona