Die politisch motivierte Hackergruppe Moses Staff wurde dabei beobachtet, wie sie im Rahmen einer neuen Kampagne, die ausschließlich israelische Organisationen ins Visier nimmt, ein maßgeschneidertes Multikomponenten-Toolset verwendet, um Spionage gegen ihre Ziele zu betreiben.
Es wird vermutet, dass Moses Staff von der iranischen Regierung gesponsert wird. Die Angriffe richten sich gegen Einrichtungen in Israel, Italien, Indien, Deutschland, Chile, der Türkei, den Vereinigten Arabischen Emiraten und den USA.
Anfang dieses Monats wurde das Hackerkollektiv dabei beobachtet, wie es einen bisher nicht dokumentierten Remote-Access-Trojaner (RAT) namens „StrifeWater“ einschleuste, der sich als Windows-Rechner-App tarnt, um der Entdeckung zu entgehen.
„Bei näherer Betrachtung zeigt sich, dass die Gruppe bereits seit über einem Jahr aktiv ist, also viel früher als die erste offizielle Enthüllung der Gruppe, und es geschafft hat, mit einer extrem niedrigen Entdeckungsrate unter dem Radar zu bleiben“, so die Ergebnisse von FortiGuard Labs.
Die jüngste Bedrohung beinhaltet einen Angriffsweg, der die ProxyShell-Schwachstelle in Microsoft Exchange-Servern als anfänglichen Infektionsvektor nutzt, um zwei Web-Shells einzurichten und anschließend Outlook-Datendateien (.PST) vom kompromittierten Server zu exfiltrieren.
In den nachfolgenden Phasen der Infektionskette wird versucht, Anmeldeinformationen zu stehlen, indem der Speicherinhalt eines kritischen Windows-Prozesses namens Local Security Authority Subsystem Service (Lsass.exe) entwendet wird, bevor die Backdoor „StrifeWater“ (broker.exe) abgelegt und geladen wird.
Die Installation des „Broker“-Implantats, das zum Ausführen von Befehlen von einem entfernten Server, zum Herunterladen von Dateien und zum Exfiltrieren von Daten aus Zielnetzwerken verwendet wird, wird durch einen Lader erleichtert, der sich als „Festplatten-Schnellstoppdienst“ namens „DriveGuard“ (drvguard.exe) tarnt.
Darüber hinaus ist der Loader auch dafür verantwortlich, einen Watchdog-Mechanismus („lic.dll“) zu starten, der sicherstellt, dass sein eigener Dienst niemals unterbrochen wird, indem er den DriveGuard jedes Mal neu startet, wenn er angehalten wird, und er stellt sicher, dass der Loader so konfiguriert ist, dass er beim Systemstart automatisch läuft.
Die Broker-Backdoor ist außerdem in der Lage, sich mit einem CMD-Befehl von der Festplatte zu löschen, Screenshots zu erstellen und die Malware zu aktualisieren, um das aktuelle Modul auf dem System durch eine vom Server empfangene Datei zu ersetzen.
StrifeWater ist auch dafür bekannt, dass es versucht, unter dem Radar zu bleiben, indem es sich als Windows Calculator App (calc.exe) ausgibt. Die Forscher von FortiGuard Labs entdeckten zwei ältere Samples, die auf Ende Dezember 2020 zurückgehen, was darauf hindeutet, dass die Kampagne bereits seit über einem Jahr aktiv ist.
Die Zuordnung zu Moses Staff basiert auf Ähnlichkeiten in den Web-Shells, die bei früheren Angriffen verwendet wurden, und auf dem Muster der Viktimologie.
„Die Gruppe ist hoch motiviert, fähig und darauf aus, israelische Einrichtungen zu schädigen“, so die Forscher. „Zum jetzigen Zeitpunkt verlassen sie sich weiterhin auf 1-Tages-Exploits für ihre erste Eindringphase. Obwohl die von uns identifizierten Angriffe zu Spionagezwecken durchgeführt wurden, schließt dies nicht aus, dass die Betreiber später zu zerstörerischen Maßnahmen übergehen.