Moses Staff攻陷以色列网络并加密数据,拒绝谈判
编译:代码卫士
Moses Staff (Moses 即以色列的民族领袖摩西,被视作犹太教创始人)组织最初在2021年10月初被发现,这是近几个月来继 Pay2Key 和 Black Shadow 黑客组织后的第三个专门攻击以色列组织机构的黑客组织。但以色列安全公司 Check Point 发布报告称,Moses Staff 和前两个组织之间的行为并不相同。
和其它勒索组织不同,Moses Staff 并不会隐藏攻击痕迹并在之后勒索谈判失败后泄露数据,而是公开承认入侵受经济利益驱动。从暗网上该组织运行的网站信息来看,Moses Staff 公开承认针对的是支持占领巴勒斯坦领土的以色列锡安主义政权。于是,Moses Staff 组织常常加密并泄露受害者数据,甚至不屑于进入勒索金谈判流程。
研究人员调查了 Moses Staff 此前执行过的攻击,发现了它的攻击模式:
Moses Staff 组织利用未修复老旧漏洞攻陷受害者网络;
以往的攻击活动和未修复的微软 Exchange 服务器相关;
一旦攻陷系统后,Moses Staff 就使用多款工具如 PsExec、WMIC和 PowerShell 更深入地移动到受害者网络中;
Moses Staff 组织之后在加密数据前从受害者网络窃取敏感信息;
Moses Staff 一般部署开源的 DiskCryptor 库执行卷加密并通过引导程序锁定受害者计算机,禁止机器在没有正确密码的前提下启动。即使提供了正确密码,系统启动后数据仍然是加密的。
Check Point 公司表示在某些情况下,启动密码和加密密钥可恢复。
Moses Staff 还运营 Telegram 频道和推特账户,借此宣传添加至泄密网站的新受害者。
Check Point 公司表示由于缺乏具体证据,因此拒绝将 Moses Staff 归咎于任何特定国家;然而,该公司表示在攻击发生的几个月前,就有一个来自巴勒斯坦的IP地址将该组织恶意软件的某些样本提交至 VirusTotal 网络恶意软件扫描工具中。
截至目前,Moses Staff 已在泄密网站上列出了16各受害者。在本文成稿时,该组织仍然活跃并在上周六宣布了以色列Unit 8200 的机密以及以色列的3D镜像地图,据称该地区是在上周日从以色列政府获取的。
以色列轰炸两个哈马斯网络指挥中心
Signal 创始人手撕以色列取证公司 Cellebrite 软件源代码:尝尝被黑的滋味
以色列和阿联酋结盟,共同对抗网络攻击
https://therecord.media/new-moses-staff-group-targets-israeli-organizations-in-destructive-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。