Последнее обновление 09.01.2023 — QGames
Новая хакерская группа под названием Moses Staff недавно взяла на себя ответственность за многочисленные атаки на израильские организации, которые выглядят политически мотивированными, поскольку они не требуют выплаты выкупа.
Злоумышленники неоднократно наносили ущерб израильским системам за последние пару месяцев, проникая в сети и шифруя файлы, а затем передавая украденные копии общественности.
Таким образом, очевидный мотив группы состоит в том, чтобы вызвать максимальные сбои в работе и нанести ущерб своим целям путем раскрытия корпоративных секретов и другой конфиденциальной информации через специальные сайты утечки данных, учетные записи Twitter и каналы Telegram.
Общедоступная информация
Исследователи Check Point опубликовали сегодня подробный отчет о Moses Staff, в котором изучаются методы, цепочка заражения и набор инструментов, используемых актером.
Moses Staff, похоже, использует общедоступные эксплойты для известных уязвимостей, которые не исправлены в общедоступной инфраструктуре.
Например, хакерская группа нацелена на уязвимые серверы Microsoft Exchange, которые эксплуатируются уже несколько месяцев , но многие развертывания остаются без исправлений .
После успешного проникновения в систему злоумышленники будут перемещаться по сети в боковом направлении с помощью PsExec, WMIC и Powershell, поэтому специальные бэкдоры не используются.
В конечном итоге участники используют специальную вредоносную программу PyDCrypt, которая использует DiskCryptor, инструмент шифрования дисков с открытым исходным кодом, доступный на GitHub , для шифрования устройств.
Слабая схема шифрования
CheckPoint объясняет, что зашифрованные файлы можно восстановить при определенных обстоятельствах, поскольку схема шифрования использует генерацию симметричного ключа при шифровании устройств.
PyDCrypt генерирует уникальные ключи для каждого имени хоста на основе хэша MD5 и созданной соли. Если копия PyDCrypt, используемая в атаке, извлекается и отменяется, функция хеширования может быть получена.
Это возможно во многих случаях, когда самоудаление программы-вымогателя не сработало или было отключено в конфигурации.
В общем, Moses Staff не прилагает особых усилий к этому аспекту своей работы, поскольку главное, к чему они стремятся, — это вызвать хаос в целевой израильской операции, а не гарантировать, что зашифрованные диски невозможно восстановить.
Политическая мотивация
Несмотря на то, что актер является новым по имени, у него могут быть ссылки на Pay2Key или BlackShadow, у которых такая же политическая мотивация и сфера охвата таргетинга.
«В сентябре 2021 года хакерская группа Moses Staff начала атаковать израильские организации, присоединившись к волне атак, начатых около года назад атакующими группами Pay2Key и BlackShadow», — поясняют исследователи в своем отчете.
«Эти субъекты действовали в основном по политическим мотивам, пытаясь создать шум в СМИ и нанести ущерб имиджу страны, требуя денег и проводя длительные и публичные переговоры с жертвами».
Группа активно присутствует в социальных сетях, на сайте утечки данных Tor и в канале Telegram, и все они используются для публикации украденных данных по как можно большему количеству каналов, чтобы максимизировать ущерб.
До сих пор аналитикам не удалось связать Moses Staff с каким-либо конкретным географическим положением или принадлежностью ли они к группе, спонсируемой государством.
Однако один из образцов вредоносного ПО, использованных в атаках Moses Staff, был загружен на VirusTotal из Палестины за несколько месяцев до начала атак.
«Хотя это не является убедительным признаком, это может выдать происхождение злоумышленников; иногда они тестируют инструменты в государственных службах, таких как VT, чтобы убедиться, что они достаточно скрытны», — объясняет Check Point.
Поскольку в атаках Moses Staff используются старые уязвимости, для которых есть доступные исправления, Check Point рекомендует всем израильским организациям исправлять свое программное обеспечение, чтобы предотвратить атаки.
