Moses staff es un grupo respaldado por el estado Iraní con objetivos principalmente enfocado en Israel y que recientemente investigadores han observado una de sus herramientas de ataque “StrifeWater” presente en Chile, sin embargo se desconoce si corresponde a los intereses principales de la agrupación o si es una herramienta que ha sido comercializada en mercados negros.
Moses Staff
Mapa de presencia de Moses Staff a nivel mundial |
Sus operaciones comenzaron a observarse “públicamente” en septiembre de 2021, sin embargo se atribuyen operaciones a lo menos de un año antes, donde la evidencia apunta a que habrían mantenido su sigilosidad desde diciembre de 2020.
Con una motivación que al momento se define como “no comercial y netamente político - religioso”, estos actores de amenaza se han caracterizado por no estar interesados en negociar con sus víctimas, por cuanto una vez consolidado su objetivo y habiéndose apropiado de los datos, no entregan una forma de “rescate” o recuperación al cifrado de los archivos en el equipo.
Se le vincula en ataques realizados con el RAT StrifeWater, con el que logran acceso inicial a su objetivo, y el ransomware DCSrv, el cual es una variante “mejorada” de la herramienta de cifrado DiskCryptor.
El objetivo de este grupo, es netamente infraestructura crítica, apuntando a países como Israel, India, Italia, Turquía, Chile, Alemania y EE.UU.
Portada de sitio web de Moses Staff |
Con fecha 15 de noviembre se ha publicado en Twitter un video en el que se describe una directa conexión entre la productora de TV de Irán Prophet Moses y este APT, lo que ha propiciado que se publiquen videos de promoción que permiten hacer alarde de los ataques realizados.
Junto a esto también se mencionan acusaciones de alta gravedad que vinculan a Israel con el asesinato de los productores de TV que llevaron a cabo el video mediante el uso de armas biológicas.
Video propaganda operaciones Moses Staff |
Operaciones
Una característica de este grupo es que sus operaciones suelen mantener un bajo perfil, las que a pesar de presumirse anteriores al año 2021, hacen su “aparición pública” recién en septiembre de ese mismo año, donde se levantó un portal web para la publicación de víctimas. Esta estrategia ha servido para desviar la atención en lo que serían sus verdaderas intenciones, ya que al existir un portal de leaks se suele asumir que corresponden a la totalidad de víctimas, sin embargo de acuerdo a la presencia evidenciada en diferentes sectores geográficos, hasta el momento no es posible aseverar si esta presencia es adjudicable al APT o si existen otros actores que dispongan de esta herramienta.
Dentro de este contexto, las operaciones más importantes a las que han sido vinculados son:
En esta misma línea, los sectores donde se han identificado actividad son:
Por otra parte, entre los países donde se ha detectado un uso de la herramienta “StrifeWater“ se encuentran geolocalizados en:
Vectores de ataque y compromiso
De acuerdo a las investigaciones realizadas, al momento se conocen dos vectores de entrada por los cuales los atacantes podrían comprometer ciertos servicios y/o equipos de las organizaciones objetivo.
Los procesos se describen a continuación:
StrifeWater RAT
Corresponde a una herramienta de desarrollo a la medida con utilidades estándar (control remoto de pantalla, creación de troyanos, implantación de procesos, etc.), la que es utilizada para el compromiso inicial contra la víctima, para luego implantarse por medio de inyección de procesos en la imagen de Windows Calc.exe.
Proceso de inyección backdoor en “calc.exe” |
Una vez ejecutado el paso anterior, el RAT habilita la carga de acceso remoto por medio de un backdoor, el que permite asegurar la presencia del atacante en el equipo de la víctima. Desde este punto, se llevan a cabo las operaciones de exfiltración de los datos y el cifrado de estos, por medio del ransomware DCSrv.
Proceso de compromiso por medio del RAT StrifeWater |
Explotación de ProxyShell
Efectúa el acceso inicial mediante vulnerabilidades presentes en MS Exchange (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207, ProxyShell), las que son explotadas con el objetivo de ganar acceso a servidores de correo de las organizaciones objetivo. Posterior a este proceso, se lleva a cabo la implantación de un backdoor que recibirá las órdenes de un C&C y la extracción de historiales de correo y datos desde la memoria del proceso lsass.exe.
Proceso de explotación por medio de ProxyShell |
Volcado de memoria del proceso lsass.exe |
Webshell implantadas en servidores comprometidos:
Panorama:
Como es de amplio conocimiento, la explotación de vulnerabilidades como ProxyShell, aún se mantiene en todo el planeta, por lo que Chile no es la excepción en este caso.
Si bien la orientación “político - religiosa” de este grupo podría hacer pensar que países del cono sur de américa no se verían afectados por posibles ataques a infraestructuras críticas, se debe considerar que el uso de las herramientas y artefactos de estos actores maliciosos, son de común conocimiento en el mundo de los ciberdelincuentes, por lo que no cabe duda de que la mayoría de operaciones relacionadas a los ataques de este tipo, puedan tomar un nuevo escenario, incluyendo actores nacionales financieramente motivados.
Habiendo observado el uso de los artefactos analizados en territorio nacional, es preciso señalar que el interés de esto no apunta netamente a “coincidencia”, por cuanto se debe tener en cuenta que Chile mantiene al día de hoy, convenios y tratados con Israel, en materia de ciberseguridad y cooperación tecnológica, lo cual es un claro indicio para incluirlo como objetivo de este grupo de amenaza.
Al tratarse de un frente que no busca una forma de negociación al comprometer una infraestructura, es claro que las futuras operaciones se centren principalmente en los sectores de energía y banca, dado que las operaciones realizadas en Israel, sugieren claramente que el objetivo final es la destrucción de planes y proyectos relacionadas a mejoras tecnológicas,, que normalmente orientan sus esfuerzos a las industrias ya mencionadas.
Finalmente, la certeza de que en los próximos meses se observen ataques destructivos relacionados a este y otros grupos, es aún más clara, por cuanto el país ha sido víctima de diferentes sucesos relacionados a grandes actores de amenaza, lo que nuevamente centra la atención en el futuro próximo en cuanto a materia de ciberdefensa y protección.
Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
https://www.cybereason.com/blog/strifewate... |
Tipo | Indicador |
---|---|
hash | 2ac7df27bbb911f8aa52efcf67c... |
hash | ff15558085d30f38bc6fd915ab3... |
hash | cafa8038ea7e46860c805da5c8c... |
hash | 4321de27d8673ba0d36a3dd4271... |
hash | 2aae636691b7d258528d19411d1... |
ip | 87.120.8.210 |
ip | 208.91.197.27 |
ip | 45.144.154.230 |
ip | 45.145.22.230 |
domain | techzenspace.com |
url | http://87.120.8.210:80/RVP/... |
url | http://techzenspace.com:80/... |
url | https://moses-kelley.com/ |
url | http://zhongmaifangwu.com/T... |
url | http://nnsales.in/lawf/AbGH... |
dakota@moses-kelley.com |