Blog

El grupo APT Moses Staff centra sus ataques contra Israel, Medio Oriente, Asía, Europa y Chile

Se ha observado que el grupo APT llamado Moses Staff, de origen Iraní (con claras motivaciones políticas) ha esta utilizando un gran conjunto de herramientas personalizadas de múltiples componentes con el objetivo de llevar a cabo campañas de espionaje contra sus objetivos como parte de un nuevo operativo que estaría centrado exclusivamente a organizaciones israelíes, dejándolas en jaque al poder robar información clasificada de estas mismas.

Según un estudio llevado a cabo por la empresa Cybereason, se estima que además de Israel, se observó que Moses Staff se dirigía a organizaciones en otros países, incluidos Italia, India, Alemania, Chile, Turquía, los Emiratos Árabes Unidos y los EE.UU. El grupo apunta a una variedad de industrias, entre ellas Gobierno, Finanzas, Viajes, Energía, Manufactura y la industria de Servicios Públicos. En resumen, sus ataques van centrados a la Infraestructura Crítica

A principios de este mes, se observó que Moses Staff ha incorporado un nuevo RAT (Remote Access Tool) el cual no ha sido documentado anteriormente, llamado «StrifeWater«, que se hace pasar por la aplicación de Calculadora de Windows para evitar su detección.

«Un examen detallado revela que el grupo ha estado activo durante más de un año, mucho antes de la primera exposición pública del grupo, logrando permanecer bajo el radar con una tasa de detección extremadamente baja«, muestran los hallazgos de FortiGuard Labs.

La última actividad de la amenaza implica una ruta de ataque que aprovecha la vulnerabilidad ProxyShell en los servidores de Microsoft Exchange como vector de infección inicial para desplegar dos web shells, seguido de la exfiltración de archivos de datos de Outlook (.PST) del servidor comprometido.

Las fases posteriores de la cadena de infección implican un intento de robo de credenciales mediante el volcado del contenido de la memoria de un proceso crítico de Windows llamado Local Security Authority Subsystem Service (Lsass.exe), antes de soltar y cargar el backdoor «StrifeWater» (broker.exe).

Diagrama del modo de infección y comunicación con el C2
Imagen: Fortinet

Además, el cargador también se encarga de poner en marcha un mecanismo de vigilancia con el nombre de «lic.dll», que garantiza que su propio servicio nunca se interrumpa, reiniciando el DriveGuard cada vez que se detenga, así como asegurando que el cargador esté configurado para ejecutarse automáticamente al iniciar el sistema.

El broker backdoor, por su parte, también está equipado para borrarse a sí mismo del disco mediante un comando CMD, capturar capturas de pantalla y actualizar el malware para sustituir el módulo actual del sistema por un archivo recibido del servidor.

StrifeWater también es notable por sus intentos de colarse en las puertas de enlace de defensa haciéndose pasar por la aplicación de calculadora de Windows (calc.exe), los investigadores de FortiGuard Labs descubrieron dos muestras más antiguas que datan de finales de diciembre de 2020, lo que sugiere que la campaña ha estado operativa durante más de un año.

«El grupo está muy motivado, es capaz y está decidido a dañar a las entidades israelíes«, dijeron los investigadores. «En este momento, siguen dependiendo de los exploits de un día para su fase inicial de intrusión. Aunque los ataques que identificamos se llevaron a cabo con fines de espionaje, esto no niega la posibilidad de que los operadores recurran más tarde a medidas destructivas.«

Los miembros de Moses Staff hacen un gran esfuerzos para permanecerse de bajo el radar y evitar ser detectados hasta la última fase de los ataques. Aunque las campañas iniciales se han centrado en sabotear organizaciones gubernamentales, militares y civiles en Israel, el grupo ha comenzado a poner sus ojos en otras organizaciones de otros países. Además, el continuo desarrollo de su arsenal de ataques indica la posibilidad de que se produzcan muchos más ataques sofisticados en el futuro.

Más Información

https://research.checkpoint.com/2021/mosesstaff-targeting-israeli-companies/

https://www.fortinet.com/blog/threat-research/guard-your-drive-from-driveguard

https://therecord.media/new-moses-staff-group-targets-israeli-organizations-in-destructive-attacks/

https://www.cybereason.com/blog/strifewater-rat-iranian-apt-moses-staff-adds-new-trojan-to-ransomware-operations

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required