Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Группировка Moses Staff месяцами атаковала израильские организации

21/02/22

MosesstaffИранская хакерская группировка под названием Moses Staff использовала многокомпонентный набор инструментов для осуществления шпионажа за израильскими организациями.

Как сообщили ИБ-специалисты из компании FortiGuard Labs, в ходе своей вредоносной кампании группировка эксплуатировала уязвимости ProxyShell в серверах Microsoft Exchange в качестве начального вектора заражения для установки двух web-оболочек с последующим хищением файлов данных Microsoft Outlook (.PST).

Последующие этапы атаки включают попытку кражи учетных данных путем сброса содержимого памяти критического процесса Windows Local Security Authority Subsystem Service (Lsass.exe), затем происходит установка бэкдора StrifeWater (broker.exe).

Установка имплантата для выполнения удаленных команд от командного сервера, загрузки файлов и хищения данных облегчается загрузчиком, который маскируется под «службу быстрой остановки жестких дисков», получившую название DriveGuard (drvguard.exe).

Кроме того, загрузчик также отвечает за запуск защитного механизма (lic.dll), который гарантирует непрерывность работы службы путем перезапуска DriveGuard каждый раз, когда процесс останавливается.

Бэкдор может удалять себя с диска с помощью команды CMD, делать снимки экрана и обновлять вредоносное ПО, чтобы заменить текущий модуль в системе файлом, полученным с сервера.

StrifeWater также известен своими возможностями обходить защитные шлюзы, выдавая себя за приложение Windows Calculator (calc.exe).

Вредоносная кампания была связана с группировкой Moses Staff на основе сходства web-оболочек, используемых в ранее зафиксированных атаках.

Темы:ИзраильПреступленияИрангосударственные кибератаки

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...