Nell’ambito di una nuova operazione che prende di mira solo le imprese israeliane, è stato rilevato che il gruppo di Moses Staff, guidato da motivazioni politiche, utilizza un set di strumenti multicomponente personalizzato per svolgere attività di spionaggio contro i suoi obiettivi. Si pensa che Moses Staff sia supportato dal governo iraniano, con attacchi registrati contro entità in Israele, Germania, Italia, India, Turchia, Cile, Emirati Arabi Uniti e Stati Uniti.
“Un attento esame rivela che il gruppo è attivo da oltre un anno, molto prima della prima esposizione pubblica ufficiale del gruppo, riuscendo a rimanere sotto il radar con un tasso di rilevamento estremamente basso”, rivelano gli esperti di Fortinet.
L’attività di minaccia più recente comprende un percorso di attacco che utilizza il difetto ProxyShell di Microsoft Exchange come vettore di infezione iniziale per installare due shell Web, seguito dall’esfiltrazione dei file di dati di Outlook ( .PST) dal server infetto. La catena di infezione continua con un tentativo di rubare le credenziali scaricando il contenuto della memoria di un processo vitale di Windows chiamato Local Security Authority Subsystem Service (Lsass.exe), seguito dall’installazione e dall’attivazione della backdoor “StrifeWater” (broker.exe).
L’implementazione dell’impianto “Broker”, che viene utilizzato per eseguire comandi recuperati da un server remoto e scaricare file dalle reti di destinazione, è reso più accessibile da un payload soprannominato “DriveGuard” (drvguard.exe) che si appare come un “Servizio di arresto rapido delle unità disco rigido”. Inoltre, il loader ha il compito di avviare un meccanismo di watchdog (“lic.dll”) che garantisce al servizio DriveGuard di non essere mai interrotto riprendendolo ogni volta che viene interrotto, oltre a garantire che sia programmato per funzionare automaticamente ad ogni avvio del sistema.
Il broker backdoor, da parte sua, può anche utilizzare un comando CMD per eliminarsi dall’unità, acquisire schermate e aggiornare il malware per sostituire il modulo corrente sul sistema con un file ricevuto dal server. StrifeWater è anche noto per essere considerato il software Windows Calculator (calc.exe), con gli analisti di FortiGuard Labs che hanno scoperto due campioni più vecchi risalenti alla fine di dicembre 2020, indicando che la campagna è attiva da più di un anno.
L’attribuzione di Moses Staff si basa su parallelismi web già utilizzati negli attacchi rivelati in passato, nonché sul suo modello di vittimologia.
“Il gruppo è altamente motivato, capace e determinato a danneggiare le entità israeliane”, si legge dai report dei ricercatori. “A questo punto, continuano a dipendere da exploit per la loro fase di intrusione iniziale. Sebbene gli attacchi da noi individuati siano stati effettuati a fini di spionaggio, ciò non esclude la possibilità che gli operatori si rivolgano in seguito anche a misure distruttive”.