Η ομάδα Moses Staff προκαλεί τον όλεθρο σε ισραηλινούς οργανισμούς

Μια νέα ομάδα hacking που ονομάζεται Moses Staff ανέλαβε πρόσφατα την ευθύνη για πολυάριθμες επιθέσεις εναντίον ισραηλινών οντοτήτων, η οποία φαίνεται να έχει πολιτικά κίνητρα καθώς δεν ζητά λύτρα.

Οι απειλητικοί παράγοντες προκάλεσαν επανειλημμένα ζημιά στα ισραηλινά συστήματα τους τελευταίους δύο μήνες, διεισδύοντας σε δίκτυα και κρυπτογραφώντας αρχεία και στη συνέχεια διέρρευσαν τα κλεμμένα αντίγραφα στο κοινό.

Ως εκ τούτου, το προφανές κίνητρο του ομίλου είναι να προκαλέσει τη μέγιστη λειτουργική διακοπή και ζημιά στους στόχους του, αποκαλύπτοντας εταιρικά μυστικά και άλλες ευαίσθητες πληροφορίες μέσω αποκλειστικών ιστότοπων διαρροής δεδομένων, Twitter accounts και καναλιών Telegram.

Δείτε επίσης: Robinhood: Δεδομένα εκατομμυρίων πελατών πωλούνται σε hacking forum

Δημόσια διαθέσιμες πληροφορίες

Οι ερευνητές στο Check Point δημοσίευσαν μια λεπτομερή αναφορά σήμερα για την ομάδα Moses Staff, εξετάζοντας τις τεχνικές, την αλυσίδα μόλυνσης και το σύνολο εργαλείων που χρησιμοποίησε η ομάδα.

Η ομάδα Moses Staff φαίνεται να χρησιμοποιεί δημόσια διαθέσιμα exploits για γνωστά τρωτά σημεία που παραμένουν μη επιδιορθωμένα στην υποδομή που αντιμετωπίζει το κοινό.

Για παράδειγμα, η ομάδα hacking στοχεύει ευάλωτους servers Microsoft Exchange που τελούν υπό exploitation εδώ και μήνες, ωστόσο πολλά deployments παραμένουν χωρίς επιδιόρθωση.

Δείτε επίσης: Servers Docker στοχοποιούνται από την ομάδα hacking TeamTNT

Μετά την επιτυχή παραβίαση ενός συστήματος, οι απειλητικοί παράγοντες θα μετακινηθούν πλευρικά μέσω του δικτύου με τη βοήθεια των PsExec, WMIC και Powershell, επομένως δεν χρησιμοποιούνται προσαρμοσμένα backdoors.

Οι χάκερ τελικά χρησιμοποιούν ένα προσαρμοσμένο malware PyDCrypt που χρησιμοποιεί το DiskCryptor, ένα εργαλείο κρυπτογράφησης δίσκου ανοιχτού κώδικα που είναι διαθέσιμο στο GitHub, για την κρυπτογράφηση συσκευών.

Αδύναμο σχήμα κρυπτογράφησης

Το CheckPoint εξηγεί ότι τα κρυπτογραφημένα αρχεία μπορούν να αποκατασταθούν υπό ορισμένες συνθήκες, καθώς το σχήμα κρυπτογράφησης χρησιμοποιεί συμμετρική δημιουργία κλειδιών κατά την κρυπτογράφηση συσκευών.

Το PyDCrypt δημιουργεί μοναδικά κλειδιά για κάθε hostname με βάση το MD5 hash. Εάν το αντίγραφο PyDCrypt που χρησιμοποιήθηκε στην επίθεση ανακτηθεί και αντιστραφεί, μπορεί να προκύψει το hashing function.

Αυτό είναι δυνατό σε πολλές περιπτώσεις όπου η αυτοδιαγραφή του ransomware δεν λειτούργησε ή απενεργοποιήθηκε στη διαμόρφωση.

Γενικά, η ομάδα Moses Staff δεν καταβάλλει μεγάλη προσπάθεια σε αυτή την πτυχή της λειτουργίας του, καθώς το κύριο πράγμα στο οποίο στοχεύουν είναι να προκαλέσουν χάος στη στοχευμένη ισραηλινή επιχείρηση και όχι να διασφαλίσουν ότι οι κρυπτογραφημένες μονάδες δίσκου είναι μη ανακτήσιμες.

Δείτε επίσης: Αυτό το πακέτο παρέχει όλες τις γνώσεις white hat hacking που θέλετε

Πολιτικά κίνητρα

Αν και η ομάδα είναι νέα, μπορεί να έχει συνδέσμους με την “Pay2Key” ή την “BlackShadow“, που έχουν τα ίδια πολιτικά κίνητρα και το ίδιο εύρος στόχευσης.

Μέχρι στιγμής, οι αναλυτές δεν μπόρεσαν να αποδώσουν την Moses Staff σε κάποια συγκεκριμένη γεωγραφική τοποθεσία ή εάν πρόκειται για μια ομάδα που χρηματοδοτείται από το κράτος.

Ωστόσο, ένα από τα δείγματα κακόβουλου λογισμικού που χρησιμοποιήθηκαν στις επιθέσεις της Moses Staff μεταφορτώθηκε στο VirusTotal από την Παλαιστίνη λίγους μήνες πριν ξεκινήσουν οι επιθέσεις.

Καθώς οι επιθέσεις του Moses Staff χρησιμοποιούν παλιές ευπάθειες που έχουν διαθέσιμες ενημερώσεις κώδικα, το Check Point συμβουλεύει όλες τις Ισραηλινές οντότητες να επιδιορθώσουν το λογισμικό τους για να αποτρέψουν επιθέσεις.

Πηγή πληροφοριών: bleepingcomputer.com