Los políticamente motivados Bastón de Moisés Se ha observado que un grupo de piratas informáticos utiliza un conjunto de herramientas multicomponente personalizado con el objetivo de llevar a cabo espionaje contra sus objetivos como parte de una nueva campaña que destaca exclusivamente a las organizaciones israelíes.
Nombre documentado públicamente a fines de 2021, se cree que Moses Staff está patrocinado por el gobierno iraní, con ataques reportados contra entidades en Israel, Italia, India, Alemania, Chile, Turquía, los Emiratos Árabes Unidos y los EE. UU.
A principios de este mes, se observó que el colectivo de hackers incorporaba un troyano de acceso remoto (RAT) previamente no documentado llamado “ConflictosAgua” que se hace pasar por la aplicación Calculadora de Windows para evadir la detección.
"Un examen minucioso revela que el grupo ha estado activo durante más de un año, mucho antes de la primera exposición pública oficial del grupo, logrando permanecer bajo el radar con una tasa de detección extremadamente baja", hallazgos de FortiGuard Labs. género.
La actividad de amenaza más reciente implica una ruta de ataque que aprovecha la ProxyShell vulnerabilidad en los servidores de Microsoft Exchange como vector de infección inicial para implementar dos shells web, seguido de la extracción de archivos de datos de Outlook (.PST) del servidor comprometido.
Las fases posteriores de la cadena de infección implican un intento de robar credenciales al volcar el contenido de la memoria de un proceso crítico de Windows llamado Servicio de subsistema de autoridad de seguridad local (Lsass.exe), antes de soltar y cargar el backdoor “StrifeWater” (broker.exe).
La instalación del implante "Broker", que se utiliza para ejecutar comandos obtenidos de un servidor remoto, descargar archivos y extraer datos de las redes de destino, se ve facilitada por un cargador que se hace pasar por un "Servicio de detención rápida de unidades de disco duro" denominado " DriveGuard” (drvguard.exe).
Además de eso, el cargador también es responsable de iniciar un mecanismo de vigilancia ("lic.dll") que garantiza que su propio servicio nunca se interrumpa reiniciando DriveGuard cada vez que se detiene y asegurando que el cargador esté configurado para ejecutarse automáticamente. en el inicio del sistema.
La puerta trasera del bróker, por su parte, también está equipada para borrarse del disco usando un comando CMD, capturar capturas de pantalla y actualizar el malware para reemplazar el módulo actual en el sistema con un archivo recibido del servidor.
StrifeWater también se destaca por sus intentos de pasar desapercibido haciéndose pasar por la aplicación Calculadora de Windows (calc.exe), y los investigadores de FortiGuard Labs descubrieron dos muestras más antiguas que datan de finales de diciembre de 2020, lo que sugiere que la campaña ha estado operativa durante más de un año.
La atribución al Bastón de Moisés se basa en similitudes en las conchas web utilizado en ataques previamente revelados y su patrón de victimología.
“El grupo está altamente motivado, es capaz y está decidido a dañar a las entidades israelíes”, dijeron los investigadores. “En este punto, continúan dependiendo de exploits de 1 día para su fase de intrusión inicial. Aunque los ataques que identificamos se llevaron a cabo con fines de espionaje, esto no niega la posibilidad de que los operadores luego recurran a medidas destructivas”.
