Se ha observado que el grupo APT llamado Moses Staff, de origen Iraní (con claras motivaciones políticas) ha esta utilizando un gran conjunto de herramientas personalizadas de múltiples componentes con el objetivo de llevar a cabo campañas de espionaje contra sus objetivos como parte de un nuevo operativo que estaría centrado exclusivamente a organizaciones israelíes, dejándolas en jaque al poder robar información clasificada de estas mismas.
Imagen: Catalin Cimpanu
Según un estudio llevado a cabo por la empresa Cybereason, se estima que además de Israel, se observó que Moses Staff se dirigía a organizaciones en otros países, incluidos Italia, India, Alemania, Chile, Turquía, los Emiratos Árabes Unidos y los EE.UU. El grupo apunta a una variedad de industrias, entre ellas Gobierno, Finanzas, Viajes, Energía, Manufactura y la industria de Servicios Públicos. En resumen, sus ataques van centrados a la Infraestructura Crítica.
A principios de este mes, se observó que Moses Staff ha incorporado un nuevo RAT (Remote Access Tool) el cual no ha sido documentado anteriormente, llamado «StrifeWater«, que se hace pasar por la aplicación de Calculadora de Windows para evitar su detección.
«Un examen detallado revela que el grupo ha estado activo durante más de un año, mucho antes de la primera exposición pública del grupo, logrando permanecer bajo el radar con una tasa de detección extremadamente baja«, muestran los hallazgos de FortiGuard Labs.
La última actividad de la amenaza implica una ruta de ataque que aprovecha la vulnerabilidad ProxyShell en los servidores de Microsoft Exchange como vector de infección inicial para desplegar dos web shells, seguido de la exfiltración de archivos de datos de Outlook (.PST) del servidor comprometido.
Las fases posteriores de la cadena de infección implican un intento de robo de credenciales mediante el volcado del contenido de la memoria de un proceso crítico de Windows llamado Local Security Authority Subsystem Service (Lsass.exe), antes de soltar y cargar el backdoor «StrifeWater» (broker.exe).
Imagen: Fortinet
Además, el cargador también se encarga de poner en marcha un mecanismo de vigilancia con el nombre de «lic.dll», que garantiza que su propio servicio nunca se interrumpa, reiniciando el DriveGuard cada vez que se detenga, así como asegurando que el cargador esté configurado para ejecutarse automáticamente al iniciar el sistema.
El broker backdoor, por su parte, también está equipado para borrarse a sí mismo del disco mediante un comando CMD, capturar capturas de pantalla y actualizar el malware para sustituir el módulo actual del sistema por un archivo recibido del servidor.
StrifeWater también es notable por sus intentos de colarse en las puertas de enlace de defensa haciéndose pasar por la aplicación de calculadora de Windows (calc.exe), los investigadores de FortiGuard Labs descubrieron dos muestras más antiguas que datan de finales de diciembre de 2020, lo que sugiere que la campaña ha estado operativa durante más de un año.
«El grupo está muy motivado, es capaz y está decidido a dañar a las entidades israelíes«, dijeron los investigadores. «En este momento, siguen dependiendo de los exploits de un día para su fase inicial de intrusión. Aunque los ataques que identificamos se llevaron a cabo con fines de espionaje, esto no niega la posibilidad de que los operadores recurran más tarde a medidas destructivas.«
Los miembros de Moses Staff hacen un gran esfuerzos para permanecerse de bajo el radar y evitar ser detectados hasta la última fase de los ataques. Aunque las campañas iniciales se han centrado en sabotear organizaciones gubernamentales, militares y civiles en Israel, el grupo ha comenzado a poner sus ojos en otras organizaciones de otros países. Además, el continuo desarrollo de su arsenal de ataques indica la posibilidad de que se produzcan muchos más ataques sofisticados en el futuro.
Más Información
https://research.checkpoint.com/2021/mosesstaff-targeting-israeli-companies/
https://www.fortinet.com/blog/threat-research/guard-your-drive-from-driveguard
https://therecord.media/new-moses-staff-group-targets-israeli-organizations-in-destructive-attacks/
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
