Nhóm tin tặc ‘Moses Staff’ sử dụng StrifeWater RAT mới trong các cuộc tấn công bằng Ransomware

Các cuộc tấn công ransomware

Một nhóm có động cơ chính trị liên quan đến một loạt các cuộc tấn công gián điệp và phá hoại vào các thực thể của Israel vào năm 2021 đã kết hợp một trojan truy cập từ xa (RAT) không có giấy tờ trước đó giả mạo ứng dụng Windows Calculator như một phần của nỗ lực có ý thức để luôn nằm trong tầm ngắm của radar.

Công ty an ninh mạng Cybereason, đã theo dõi hoạt động của diễn viên người Iran được gọi là Moses Staff, được mệnh danh là phần mềm độc hại “StrifeWater”.

Tom Fakterman, nhà phân tích bảo mật của Cybereason, cho biết: “StrifeWater RAT dường như được sử dụng trong giai đoạn đầu của cuộc tấn công và RAT tàng hình này có khả năng tự loại bỏ khỏi hệ thống để che dấu vết của nhóm Iran,” Tom Fakterman, nhà phân tích bảo mật của Cybereason, cho biết trong một báo cáo. “RAT sở hữu các khả năng khác, chẳng hạn như thực thi lệnh và chụp màn hình, cũng như khả năng tải xuống các tiện ích mở rộng bổ sung.”

Moses Staff được đưa ra ánh sáng vào cuối năm ngoái khi Check Point Research vạch trần một loạt cuộc tấn công nhằm vào các tổ chức của Israel kể từ tháng 9 năm 2021 với mục tiêu làm gián đoạn hoạt động kinh doanh của mục tiêu bằng cách mã hóa mạng của họ, không có tùy chọn lấy lại quyền truy cập hoặc thương lượng tiền chuộc.

Xem tiếp:   Sửa lỗi không in được mã lỗi Operation failed with error 0x0000011b khi in qua mạng

Các cuộc xâm nhập đáng chú ý vì chúng dựa vào thư viện mã nguồn mở để thực hiện mã hóa khối lượng, ngoài việc lây nhiễm vào hệ thống bằng bộ nạp khởi động khiến chúng không thể khởi động mà không có khóa mã hóa chính xác.

Các cuộc tấn công ransomware

Cho đến nay, các nạn nhân đã được báo cáo ngoài Israel, bao gồm Ý, Ấn Độ, Đức, Chile, Thổ Nhĩ Kỳ, UAE và Mỹ

Phần mới của câu đố tấn công do Cybereason phát hiện có dạng RAT được triển khai dưới tên “calc.exe” (tệp nhị phân của Máy tính Windows) và được sử dụng trong giai đoạn đầu của chuỗi lây nhiễm, chỉ cần được xóa trước đó. để triển khai phần mềm độc hại mã hóa tệp.

Các nhà nghiên cứu nghi ngờ việc loại bỏ và thay thế máy tính độc hại có thể thực thi bằng mã nhị phân hợp pháp là một nỗ lực của tác nhân đe dọa nhằm che đậy các dấu vết và xóa bằng chứng về trojan, chưa kể đến việc cho phép chúng trốn tránh bị phát hiện cho đến khi giai đoạn cuối của cuộc tấn công khi tải trọng được thực thi.

Về phần mình, StrifeWater không khác gì các đối tác của nó và đi kèm với nhiều tính năng, chủ yếu trong số đó là khả năng liệt kê các tệp hệ thống, thực thi các lệnh hệ thống, chụp ảnh màn hình, tạo độ bền và tải xuống các bản cập nhật và các mô-đun phụ trợ.

Xem tiếp:   TIN XẤU! Patchwork APT Hackers ghi bàn thắng riêng trong các cuộc tấn công phần mềm độc hại gần đây

“Mục tiêu cuối cùng của Moses Staff dường như có động cơ chính trị hơn là tài chính”, Fakterman kết luận. “Moses Staff sử dụng ransomware sau khi xâm nhập không phải để thu lợi tài chính mà để phá vỡ các hoạt động, làm xáo trộn hoạt động gián điệp và gây thiệt hại cho các hệ thống nhằm thúc đẩy các mục tiêu địa chính trị của Iran.”

.

Related Posts

Check Also

Người đàn ông New York bị kết án 4 năm trong kế hoạch tội phạm mạng xuyên quốc gia

Một người đàn ông 37 tuổi đến từ New York đã bị kết án 4 …