Nhân viên Moses Tin tặc nhắm mục tiêu vào các tổ chức của Israel để gián điệp mạng

Moses nhân viên tin tặc

Nhóm tin tặc Moses Staff có động cơ chính trị đã bị phát hiện sử dụng một bộ công cụ đa thành phần tùy chỉnh với mục tiêu thực hiện hoạt động gián điệp chống lại các mục tiêu của chúng như một phần của chiến dịch mới chỉ độc quyền các tổ chức của Israel.

Được ghi nhận công khai lần đầu tiên vào cuối năm 2021, Moses Staff được cho là được chính phủ Iran tài trợ, với các cuộc tấn công được báo cáo nhằm vào các thực thể ở Israel, Ý, Ấn Độ, Đức, Chile, Thổ Nhĩ Kỳ, UAE và Mỹ.

Đầu tháng này, nhóm tin tặc đã được quan sát thấy kết hợp một (RAT) không có giấy tờ trước đây có tên “StrifeWater” giả dạng ứng dụng Windows Calculator để tránh bị phát hiện.

“Kiểm tra kỹ lưỡng cho thấy nhóm này đã hoạt động hơn một năm, sớm hơn nhiều so với lần lộ diện công khai chính thức đầu tiên của nhóm, cố gắng ở trong tầm ngắm với tỷ lệ phát hiện cực kỳ thấp”, phát hiện từ FortiGuard Labs tiết lộ.

Hoạt động đe dọa mới nhất liên quan đến một đường dẫn tấn công tận dụng lỗ hổng trong các máy chủ Exchange làm véc tơ lây nhiễm ban đầu để triển khai hai web shell, tiếp theo là đào thải các tệp dữ liệu Outlook (.PST) từ máy chủ bị xâm nhập.

Xem tiếp:   Bản cập nhật Apache Log4j mới được phát hành để vá lỗ hổng bảo mật mới được phát hiện

Các giai đoạn tiếp theo của chuỗi lây nhiễm liên quan đến nỗ lực đánh cắp thông tin xác thực bằng cách kết xuất nội dung bộ nhớ của một quy trình Windows quan trọng được gọi là Dịch vụ hệ thống cơ quan bảo mật cục bộ (Lsass.exe), trước khi thả và tải cửa hậu “StrifeWater” (broker.exe).

Việc cài đặt bộ cấy “Broker”, được sử dụng để thực thi các lệnh được tải xuống từ máy chủ từ xa, tải xuống tệp và lấy dữ liệu từ các mạng mục tiêu, được hỗ trợ bởi trình tải giả mạo là “Dịch vụ dừng nhanh ổ đĩa cứng” được đặt tên là ” DriveGuard “(drvguard.exe).

Trên hết, bộ tải cũng chịu trách nhiệm khởi chạy cơ chế cơ quan giám sát (“lic.dll”) để đảm bảo dịch vụ của chính nó không bao giờ bị gián đoạn bằng cách khởi động lại DriveGuard mỗi khi nó dừng cũng như đảm bảo rằng bộ tải được định cấu hình để chạy tự động khi khởi động hệ thống.

Về phần mình, cửa hậu môi giới cũng được trang bị để xóa chính nó khỏi đĩa bằng lệnh CMD, chụp ảnh màn hình và cập nhật phần mềm độc hại để thay thế mô-đun hiện tại trên hệ thống bằng tệp nhận được từ máy chủ.

StrifeWater cũng đáng chú ý vì nỗ lực duy trì tầm ngắm bằng cách đóng giả ứng dụng Máy tính Windows (calc.exe), với việc các nhà nghiên cứu của FortiGuard Labs phát hiện ra hai mẫu cũ hơn có từ cuối tháng 12 năm 2020, cho thấy rằng chiến dịch đã hoạt động cho hơn một năm.

Xem tiếp:   Tin tặc Triều Tiên đã đánh cắp hàng triệu đô la từ các công ty khởi nghiệp tiền điện tử trên toàn thế giới

Việc phân bổ cho Moses Staff dựa trên những điểm tương đồng trong các web shell được sử dụng trong các cuộc tấn công được tiết lộ trước đây và mô hình nạn nhân của nó.

Các nhà nghiên cứu cho biết: “Nhóm có động cơ cao, có khả năng và quyết tâm gây thiệt hại cho các thực thể của Israel. “Tại thời điểm này, chúng tiếp tục phụ thuộc vào các đợt khai thác kéo dài 1 ngày cho giai đoạn xâm nhập ban đầu của chúng. Mặc dù các cuộc tấn công mà chúng tôi xác định được thực hiện cho mục đích gián điệp, nhưng điều này không phủ nhận khả năng những kẻ khai thác sau đó sẽ chuyển sang các biện pháp phá hoại.”

.

Related Posts

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …