Herramienta utilizada por Moses Staff presente en Chile

Moses staff es un grupo respaldado por el estado Iraní con objetivos principalmente enfocado en Israel y que recientemente investigadores  han observado una de sus herramientas de ataque  “StrifeWater” presente en Chile, sin embargo se desconoce si corresponde a los intereses principales de la agrupación o si es una herramienta que ha sido comercializada en mercados negros.

Moses Staff

Sus operaciones comenzaron a observarse “públicamente” en septiembre de 2021, sin embargo se atribuyen operaciones a lo menos de un año antes, donde la evidencia apunta a que habrían mantenido su sigilosidad desde diciembre de 2020.

Con una motivación que al momento se define como “no comercial y netamente político - religioso”, estos actores de amenaza se han caracterizado por no estar interesados en  negociar con sus víctimas, por cuanto una vez consolidado su objetivo y habiéndose apropiado de los datos, no entregan una forma de “rescate” o recuperación al cifrado de los archivos en el equipo.

Se le vincula en ataques realizados con el RAT StrifeWater, con el que logran acceso inicial a su objetivo, y el ransomware DCSrv, el cual es una variante “mejorada” de la herramienta de cifrado DiskCryptor.

El objetivo de este grupo, es netamente infraestructura crítica, apuntando a países como Israel, India, Italia, Turquía, Chile, Alemania y EE.UU.

Con fecha 15 de noviembre se ha publicado en Twitter un  video en el que se describe una directa conexión entre la productora de TV de Irán Prophet Moses y este APT, lo que ha propiciado que se publiquen videos de promoción que permiten hacer alarde de los ataques realizados. 

Junto a esto también se mencionan acusaciones de alta gravedad que vinculan a Israel con el asesinato de los productores de TV que llevaron a cabo el video mediante el uso de armas biológicas.

Operaciones

Una característica de este grupo es que sus operaciones suelen mantener un bajo perfil, las que a pesar de presumirse anteriores al año 2021, hacen su “aparición pública” recién en septiembre de ese mismo año, donde  se levantó un portal web para la publicación de víctimas. Esta estrategia ha servido para desviar la atención en lo que serían sus verdaderas intenciones, ya que al existir un portal de leaks se suele asumir que corresponden a  la totalidad de víctimas, sin embargo de acuerdo a la presencia evidenciada en diferentes sectores geográficos, hasta el momento no es posible aseverar si esta presencia es adjudicable al APT o si existen otros actores que dispongan de esta herramienta.

Dentro de este contexto, las operaciones más importantes a las que han sido vinculados son:

• Diciembre de 2020: operaciones de espionaje contra Israel.
• Marzo de 2021: operaciones de compromiso contra organizaciones israelíes.
• Septiembre de 2021: ataque a diferentes organizaciones israelíes relacionadas a energía e ingeniería.
• Octubre de 2021: ataque a diferentes organizaciones israelíes relacionadas a finanzas y abogados.
• Octubre de 2021: se detecta el RAT StrifeWater operando contra varias naciones, incluyendo Chile.
• Noviembre de 2021: campaña publicitaria de operaciones contra Israel.

En esta misma línea, los sectores donde se han identificado actividad son:

• Energía
• Servicios Financieros
• Entidades Gubernamentales
• Manufacturero
• Servicios públicos

Por otra parte, entre los países donde se ha detectado un uso de la herramienta “StrifeWater“ se encuentran geolocalizados en:

• Emiratos Árabes Unidos
• Chile
• Alemania
• Israel
• India
• Italia
• Turquía
• Estados unidos

Vectores de ataque y compromiso

De acuerdo a las investigaciones realizadas, al momento se conocen dos vectores de entrada por los cuales los atacantes podrían comprometer ciertos servicios y/o equipos de las organizaciones objetivo.

Los procesos se describen a continuación:

StrifeWater RAT

Corresponde a una herramienta de desarrollo a la medida con utilidades estándar (control remoto de pantalla, creación de troyanos, implantación de procesos, etc.), la que es utilizada para el compromiso inicial contra la víctima, para  luego implantarse por medio de inyección de procesos en la imagen de Windows Calc.exe.

Una vez ejecutado el paso anterior, el RAT habilita la carga de acceso remoto por medio de un backdoor, el que permite asegurar la presencia del atacante en el equipo de la víctima. Desde este punto, se llevan a cabo las operaciones de exfiltración de los datos y el cifrado de estos, por medio del ransomware DCSrv.

Explotación de ProxyShell

Efectúa el acceso inicial mediante vulnerabilidades presentes en MS Exchange (CVE-2021-34473, CVE-2021-34523 y  CVE-2021-31207, ProxyShell), las que son explotadas con el objetivo de ganar acceso a servidores de correo de las organizaciones objetivo. Posterior a este proceso, se lleva a cabo la implantación de un backdoor que recibirá las órdenes de un C&C y la extracción de historiales de correo y datos desde la memoria del proceso lsass.exe.

Webshell implantadas en servidores comprometidos:

• C:/inetpub/wwwroot/aspnet_client/system_web/iispool.aspx
• C:/inetpub/wwwroot/aspnet_client/system_web/map.aspx
   

Panorama:

Como es de amplio conocimiento, la explotación de vulnerabilidades como ProxyShell, aún se mantiene en todo el planeta, por lo que Chile no es la excepción en este caso.

Si bien la orientación “político - religiosa” de este grupo podría hacer pensar que países del cono sur de américa no se verían afectados por posibles ataques a infraestructuras críticas, se debe considerar que el uso de las herramientas y artefactos de estos actores maliciosos, son de común conocimiento en el mundo de los ciberdelincuentes, por lo que no cabe duda de que la mayoría de operaciones relacionadas a los ataques de este tipo, puedan tomar un nuevo escenario, incluyendo actores nacionales financieramente motivados.

Habiendo observado el uso de los artefactos analizados en territorio nacional, es preciso señalar que el interés de esto no apunta netamente a “coincidencia”, por cuanto se debe tener en cuenta que Chile mantiene al día de hoy, convenios y tratados con Israel, en materia de ciberseguridad y cooperación tecnológica, lo cual es un claro indicio para incluirlo como objetivo de este grupo de amenaza.

Al tratarse de un frente que no busca una forma de negociación al comprometer una infraestructura, es claro que las futuras operaciones se centren principalmente en los sectores de  energía y banca, dado que las operaciones realizadas en Israel, sugieren claramente que el objetivo final es la destrucción de planes y proyectos relacionadas a mejoras tecnológicas,, que normalmente orientan sus esfuerzos a las industrias ya mencionadas.

Finalmente, la certeza de que en los próximos meses se observen ataques destructivos relacionados a este y otros grupos, es aún más clara, por cuanto el país ha sido víctima de diferentes sucesos relacionados a grandes actores de amenaza, lo que nuevamente centra la atención en el futuro próximo en cuanto a materia de ciberdefensa y protección.

Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.