Neue Hackergruppe “Moses Staff” zielt mit zerstörerischen Angriffen auf israelische Unternehmen

  • Eine neue politisch motivierte Hackergruppe mit dem Namen “Moses Staff” wird mit einer Welle gezielter Angriffe auf israelische Organisationen seit September 2021 in Verbindung gebracht, deren Ziel es ist, sensible Informationen zu plündern und an die Öffentlichkeit zu bringen, bevor sie ihre Netzwerke verschlüsseln, ohne die Möglichkeit, den Zugang wiederherzustellen oder ein Lösegeld auszuhandeln.

    “Die Gruppe gibt offen an, dass ihre Motivation bei Angriffen auf israelische Unternehmen darin besteht, Schaden zu verursachen, indem sie die gestohlenen sensiblen Daten durchsickern lässt und die Netzwerke der Opfer verschlüsselt, ohne Lösegeld zu fordern”, so Check Point Research in einem am Montag veröffentlichten Bericht. “In der Sprache der Angreifer ist es ihr Ziel, ‘gegen den Widerstand zu kämpfen und die Verbrechen der Zionisten in den besetzten Gebieten aufzudecken’.”

    Nach Angaben des Kollektivs wurden bisher die Daten von mindestens 16 Opfern abgefangen.

    [Blocked Image: https://thehackernews.com/images/-b2ieWo0PeVw/YVHQq_NfHwI/AAAAAAAA4Z8/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ/s728-e100/rewind-2-728.png]

    Es wird angenommen, dass der Bedrohungsakteur öffentlich bekannte Schwachstellen ausnutzt, um in Unternehmensserver einzudringen und sich zunächst Zugang zu verschaffen, um anschließend eine benutzerdefinierte Web-Shell zu installieren, über die zusätzliche Malware eingeschleust wird. Nach dem Eindringen nutzen die Eindringlinge die Vorteile von “Living-off-the-land”-Techniken (LotL), um sich seitlich durch das Netzwerk zu bewegen und Malware zu installieren, um die Rechner über eine speziell entwickelte PyDCrypt-Malware hinter Verschlüsselungsbarrieren zu sperren.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEh3L2-vp3QQBBnNdk6pArF58OPw4yAK1juk-Oq5f1GTGJpZVCGrVI3-1nUXL8KAfGEXk774RnsL4erZw-evrFFIzbh_9ZhSCA1H-i0oPPQ6GJfPS2ZQCPW3F9jo0guM76PSunZfNl8pp508biPOTclo5MuMQreAdaiKqNFMj5J6y7RtoQYduqjUYYZG=s728-e1000]

    Die Angriffe stützen sich insbesondere auf die Open-Source-Bibliothek DiskCryptor, um die Verschlüsselung von Datenträgern durchzuführen, und infizieren die Systeme mit einem Bootloader, der verhindert, dass sie ohne den richtigen Verschlüsselungsschlüssel gestartet werden können. Das Ziel, so die Forscher, ist es, den Betrieb zu stören und den Opfern “irreversible Schäden” zuzufügen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgVXnF7Q1DZSVRwWOJhNah4wz8e51fsVFAS__gHTu1tui2qUFupRFKacOmkJejCM-6fADxgEY--HepTTSGXAkKk3lew9UoQ8X2kRIahwuO0zks_Okvy0KefNKkQ0Z9w2FupruRHbTyRmGFec0KwnHOmGQ9TmzwppQ6hoVM1tLWoozU6b7uds5WqQf9t=s728-e1000]

    Allerdings können die verschlüsselten Dateien in bestimmten Szenarien wiederhergestellt werden, da die Gruppe einen symmetrischen Schlüsselmechanismus verwendet, um die Verschlüsselungsschlüssel zu generieren. Check Point ordnete den Angreifer keinem bestimmten Land zu, da keine eindeutigen Beweise vorlagen, wies aber darauf hin, dass einige Artefakte des Tool-Sets der Gruppe bereits Monate vor dem ersten Angriff aus Palästina bei VirusTotal eingereicht worden waren.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    Moses Staff nutzt auch Twitter und Telegram, um seine Angriffe bekannt zu machen, wobei erst am 14. November bösartige Aktivitäten gemeldet wurden. Auf ihrer eigenen Website behauptet die Gruppe, sie habe über 257 Websites angegriffen und Daten und Dokumente im Umfang von 34 Terabyte gestohlen. Darüber hinaus ruft das Online-Portal Außenstehende dazu auf, sich ihnen anzuschließen, um “die Verbrechen der Zionisten im besetzten Palästina aufzudecken”.

    “Moses Staff ist immer noch aktiv und verbreitet provokative Nachrichten und Videos in seinen sozialen Netzwerkkonten”, so die Forscher. “Die Schwachstellen, die bei den Angriffen der Gruppe ausgenutzt werden, sind keine Zero-Days, und daher können sich alle potenziellen Opfer schützen, indem sie sofort alle öffentlich zugänglichen Systeme patchen.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com