MosesStaff sperrt Ziele ein, ohne Lösegeld zu fordern und ohne Entschlüsselung

  • Eine politisch motivierte Gruppe legt israelische Einrichtungen lahm, ohne ein finanzielles Ziel zu verfolgen – und ohne die Absicht, Entschlüsselungsschlüssel auszuhändigen.

    Die Hackergruppe MosesStaff zielt mit politisch motivierten, zerstörerischen Angriffen auf israelische Ziele und versucht, so viel Schaden wie möglich anzurichten, warnten Forscher.

    Anders als andere antizionistische Hacktivisten wie die Pay2Key- und BlackShadow-Gruppen, die ihre Opfer erpressen und in Verlegenheit bringen wollen, verschlüsselt MosesStaff Netzwerke und stiehlt Informationen, ohne die Absicht, Lösegeld zu fordern oder den Schaden zu beheben. Das berichtet Check Point Research (CPR), das die Aktivitäten von MosesStaff seit September beobachtet.

    Die Gruppe ist auch in den sozialen Medien aktiv, verbreitet provokative Nachrichten und Videos über ihre Kanäle und macht ihre Absichten bekannt.

    “In der Sprache der Angreifer besteht ihr Ziel darin, ‘gegen den Widerstand zu kämpfen und die Verbrechen der Zionisten in den besetzten Gebieten aufzudecken'”, erklärten die Forscher in einem Beitrag vom Montag. “Es gibt keine Lösegeldforderung und keine Entschlüsselungsoption; ihre Motive sind rein politisch”.

    Bekannte Schwachstellen

    MosesStaff (benannt nach dem im Buch Exodus erwähnten Stab des Moses, der unter anderem dazu diente, das Rote Meer für die fliehenden Israeliten zu teilen) nutzt bekannte Schwachstellen in Microsoft Exchange Server aus, um eine erste Kompromittierung zu erreichen, so CPR. Zur Ausführung seiner Angriffe öffnet er dann eine verschleierte, passwortgeschützte Webshell.

    Über diesen Zugang setzen die Bedrohungsakteure der Analyse zufolge mehrere zusätzliche Tools ein:

    • Mehrere Batch-Skripte, die SMB-Freigaben aktivieren oder die Windows-Firewall auf bestimmten Remote-Rechnern deaktivieren können;
    • Eine Kopie von PsExec, einem portablen Tool von Microsoft, das die Ausführung von Prozessen aus der Ferne mit den Anmeldedaten eines beliebigen Benutzers ermöglicht;
    • Und OICe.exe, eine kleine ausführbare Go-Datei zum Ausführen von Befehlen; sie könnte auf dem kompromittierten Server in den ersten Schritten des Angriffs verwendet werden, um das Ausführen verdächtiger Kindprozesse wie cmd oder PowerShell zu vermeiden.

    Der nächste Schritt besteht darin, Informationen über die Rechner im Netzwerk zu sammeln, einschließlich Domänennamen, Rechnernamen und Administratoranmeldeinformationen. Laut CPR wird diese Liste später verwendet, um eine benutzerdefinierte, umgebungsspezifische Malware namens PyDCrypt zu kompilieren – eine Vorstufe der Hauptnutzlast, die, wie sich herausstellt, einen fehlerhaften Verschlüsselungsmechanismus verwendet.

    MosesStaffs benutzerdefiniertes Malware-Schema

    PyDCrypt, das in Python geschrieben ist, verwendet die Listeninformationen, um sich seitlich im Netzwerk zu bewegen und sich innerhalb des Netzwerks mit verfügbaren Tools wie PowerShell, PSExec oder WMIC zu replizieren und PSExec, die Batch-Skripte und die Hauptverschlüsselungs-Nutzlast auf jedem Rechner zu installieren.

    Die Hauptverschlüsselungs-Nutzlast ist eine andere benutzerdefinierte Malware namens DCSrv, wie es in dem Bericht heißt. Sie gibt sich als der legitime Prozess svchost.exe aus und konzentriert sich ausschließlich auf die Verschlüsselung aller Computer-Volumes; außerdem verfügt sie über einen dreiteiligen Ausführungsablauf: Treiberinstallation, Volume-Verschlüsselung und Bootloader-Installation.

    Die erste Aktion besteht darin, zwei Dienste namens DCUMSrv und DCDrv zu erstellen. Ersterer sorgt für die Aufrechterhaltung des Systems über mehrere Startvorgänge hinweg. DCDrv führt inzwischen den mitgelieferten Filtertreiber DCDrv.sys aus, der wiederum die Verschlüsselung einsetzt.

    “Wenn die Malware die Installation des Treibers abgeschlossen hat, führt sie nach einigen Minuten einen Neustart durch, um den Treiber betriebsbereit zu machen”, erklärten die CPR-Analysten. “Beim zweiten Durchlauf wartet die Malware genau die in der Konfiguration angegebene Zeit ab, bevor sie ihren Verschlüsselungsmechanismus zündet. Dies ist ein weiterer Beweis dafür, dass die Payloads gezielt und pro Opfer erstellt werden.”

    Dieser Kernverschlüsselungsmechanismus basiert auf der Open-Source-Bibliothek DiskCryptor, “um die Verschlüsselung von Datenträgern durchzuführen und die Computer der Opfer mit einem Bootloader zu sperren, der es nicht zulässt, dass die Rechner ohne das richtige Kennwort starten.”

    Knackbare Verschlüsselung

    Die gute Nachricht ist, dass die Entschlüsselung von Opfersystemen möglich ist, wie CPR herausfand.

    “Die berüchtigtsten Ransomware-Banden (z. B. Conti, REvil, Lockbit usw.) stellen fast ausnahmslos sicher, dass ihr Verschlüsselungssystem gut durchdacht und unangreifbar ist”, so die Forscher. “Aus welchen Gründen auch immer, einschließlich nicht-finanzieller Motivation, mangelnder Erfahrung mit Ransomware oder amateurhafter Programmierkenntnisse, hat sich die MosesStaff-Gruppe nicht so viel Mühe gegeben.”

    Und in der Tat entdeckte CPR zwei Möglichkeiten, die Verschlüsselung rückgängig zu machen, wie in dem Posting beschrieben:

    • Die erste und wichtigste Möglichkeit besteht darin, die Protokolle der Endpoint Detection and Response (EDR)-Produkte zu prüfen, falls diese in der Umgebung installiert waren. Ein ordnungsgemäß konzipierter EDR zeichnet alle Prozesskreationen zusammen mit ihren Befehlszeilenparametern auf, die in unserem Fall die Schlüssel sind.
    • Die zweite Möglichkeit besteht darin, die PyDCrypt-Malware, die das Opfer angegriffen hat, zu extrahieren und umzukehren. Diese Methode ist etwas schwieriger, da sich der Code nach Beendigung der Ausführung selbst löscht. Aus dem PyDCrypt-Beispiel können wir die manipulierte Hashing-Funktion extrahieren, die die Schlüssel pro Computer erzeugt.

    Von dort aus ist es möglich, diese extrahierten Schlüssel in den Boot-Anmeldebildschirm einzufügen, um den Computer zu entsperren und den Zugriff auf das Betriebssystem wiederherzustellen.

    “Sie haben einen eindeutigen Fehler gemacht, als sie ihr eigenes Verschlüsselungsschema zusammenstellten, was in der heutigen Landschaft, in der jeder Zwei-Bit-Cyberkriminelle zumindest die Grundlagen zu kennen scheint, wie man funktionierende Ransomware zusammenstellt, wirklich eine Überraschung ist”, so CPR.

    Dennoch bleiben die Festplatten verschlüsselt und der DiskCryptor Bootloader ist bei jedem Neustart aktiv”, so CPR. “Dies kann durch die Erstellung eines einfachen Programms gelöst werden, das den DiskCryptor-Treiber per IOCTL anspricht und ihn schließlich aus dem System entfernt.

    Namensnennung

    Wenn es um die Zuordnung geht, gibt es kaum eindeutige Beweise dafür, wer hinter MosesStaff steckt. CPR-Forscher haben gesehen, dass eines der bei dem Angriff verwendeten Tools, OICe.exe, einige Monate vor Beginn der Angriffe von Palästina aus an VirusTotal übermittelt wurde.

    “Obwohl dies kein eindeutiges Indiz ist, könnte es die Herkunft der Angreifer verraten; manchmal testen sie die Tools in öffentlichen Diensten wie VirusTotal, um sicherzustellen, dass sie getarnt genug sind”, so die Forscher.

    Ein weiterer potenzieller Indikator sind die auf der Website der Gruppe verwendeten Grafiken, moses-staff[.]se. Den Metadaten der Bilder zufolge wurden diese alle in der Zeitzone GMT+3 erstellt, die die Zeitzone für Israel und Palästina ist.

    Um sich zu schützen, ist das Patchen der Systeme ein guter Ausgangspunkt für Unternehmen, so CPR.

    “MosesStaff hat einen spezifischen Modus Operandi, der darin besteht, Schwachstellen in öffentlich zugänglichen Servern auszunutzen und dann eine Kombination aus einzigartigen Tools und Manövern zu verwenden, um das Zielnetzwerk verschlüsselt zu lassen, wobei die Verschlüsselung ausschließlich zu Zerstörungszwecken verwendet wird”, so die CPR-Forscher. “Die Schwachstellen, die bei den Angriffen der Gruppe ausgenutzt werden, sind keine Zero-Day-Schwachstellen, und daher können sich alle potenziellen Opfer schützen, indem sie sofort alle öffentlich zugänglichen Systeme mit Patches versehen.”

    TOMORROW! Möchten Sie die Kontrolle über die fadenscheinigen Passwörter zurückgewinnen, die zwischen Ihrem Netzwerk und dem nächsten Cyberangriff stehen? Kommen Sie zu Darren James, Leiter der internen IT-Abteilung von Specops, und Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, und erfahren Sie bei der kostenlosen LIVE-Veranstaltung von Threatpost “Password Reset”, wie das geht: Kontrolle über Anmeldeinformationen erlangen, um Angriffe zu stoppen”, am Mittwoch, den 17. November um 14 Uhr ET. Gesponsert von Specops.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com