MosesStaff-hackinggruppen er gået ind i 'ransomware'-kampen med en forskel: afpresningsbetalinger er længst væk fra deres sind.
Den 15. november sagde Check Point Research (CPR) at gruppen begyndte at målrette mod organisationer i Israel i løbet af september i år og sluttede sig til kampagner lanceret af Pay2Key og BlackShadow.
Fokus for disse operationer var at implementere ransomware på deres ofres systemer og at forårsage skade, samt at stjæle værdifuld information bestemt til fremtidige offentlige lækager.
Ransomware-operatører, herunder Maze, Conti og LockBit, for blot at nævne nogle få, har vedtaget dobbeltafpresningstaktik gennem lanceringen af dedikerede datalækage-websteder på Dark Web.
Under et overfald vil disse grupper stjæle værdifuld virksomhedsinformation forud for kryptering af et offers systemer. Hvis de nægter at betale op, står disse organisationer så over for truslen om, at disse data bliver lækket til offentligheden eller solgt.
Men MosesStaff er åben omkring sine hensigter: angrebene er politiske. Der stilles ikke krav om løsesum – det eneste formål er at stjæle information og forårsage skade.
“På angribernes sprog er deres formål at “bekæmpe modstanden og afsløre zionisternes forbrydelser i de besatte områder,” siger CPR.
Forskerne antager, at den første adgang opnås gennem sårbarheder. i offentlige systemer, såsom fejlene i Microsoft Exchange Server, som blev rettet tidligere i år.
Når adgangen er sikret, dropper MosesStaff derefter en webshell for at udføre yderligere kommandoer; batch-scripts til at deaktivere Windows firewall og til at aktivere SMB; PsExec til fjernbetjening af processer og OICe.exe, en eksekverbar fil skrevet i Golang-programmeringssproget til modtagelse og udførelse af kommandoer via kommandolinjen.
Data eksfiltreres derefter fra offermaskinen inklusive domænenavne, maskinnavne og legitimationsoplysninger – information, som derefter bruges til at kompilere en tilpasset version af PyDCrypt-malwaren. Denne nyttelast er fokuseret på at inficere alle andre sårbare maskiner på et netværk samt sikre, at den primære krypteringsnyttelast, DCSrv, udføres korrekt. DCSrv er baseret på open source-værktøjet DiskCryptor.
DiskCryptor bootloader udføres også for at sikre, at systemet ikke kan startes op igen uden en adgangskode. Men forskerne siger, at det under de rette omstændigheder kan være muligt at vende den nuværende krypteringsproces, hvis korrekt opbevarede EDR-registre er tilgængelige.
Tilskrivning er ikke fast i dette tilfælde, men CPR har mistanke om, at de kan være placeret i Palæstina på grund af udviklingstidslogs og kodningsspor i et brugt værktøj, OICe.exe, som blev indsendt til VirusTotal fra Palæstina flere måneder før kampagnen begyndte.
“Som Pay2Key og BlackShadow-banderne før dem, er MosesStaff-gruppen motiveret af politik og ideologi til at målrette israelske organisationer,” kommenterede forskerne. “I modsætning til disse forgængere begik de dog en direkte fejl, da de sammensatte deres eget krypteringsskema, hvilket ærligt talt er en overraskelse i nutidens landskab, hvor hver to-bit cyberkriminelle synes at vide i det mindste det grundlæggende i, hvordan man sammensætter fungerende ransomware. ”
Tidligere og relateret dækning
Mød Lyceum: Iranske hackere rettet mod telekommunikation, internetudbydere
Ny avanceret hackergruppe retter sig mod regeringer, ingeniører over hele verden
DeadRinger: Kinesiske APT'er angriber store teleselskaber
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre