【安全资讯】Moses Staff黑客组织以破坏性攻击为目的针对以色列实体

引言

2021年9月，一个名为Moses Staff的黑客组织开始以以色列实体为目标展开了破坏性攻击活动，其动机是通过泄露被盗的敏感数据和加密受害者的网络来对其造成损害，Moses Staff并没有勒索赎金，Moses Staff表明，攻击的目的是“打击抵抗并揭露被占领土上犹太复国主义者的罪行”。安全研究人员将其描述为出于政治动机的破坏性攻击。

简况

Moses Staff并没有试图将他们的攻击和随后的数据泄露行为隐藏起来，而是公开承认入侵是出于政治动机。根据该组织在暗网上运作的网站上发布的一条消息，Moses Staff公开承认是以以色列犹太复国主义政权为目标，以支持被占领的巴勒斯坦领土。

该组织经常加密然后泄露受害者的数据，甚至没有尝试参与赎金协商过程。根据研究人员调查该组织过去的攻击，发现Moses Staff 使用以下模式进行运作：

• 该组织通过利用未修补的旧漏洞来破坏受害者的网络。
• 过去的入侵与未修复补丁的 Microsoft Exchange 服务器有关。
• 一旦他们破坏了系统，该组织就会使用 PsExec、WMIC 和 Powershell 等工具深入受害者的网络内部。
• 该组织然后在加密其数据之前从受害者的网络中窃取敏感信息。
• Moses Staff 通常会部署开源 DiskCryptor 库来执行卷加密并使用引导加载程序锁定受害者的计算机，引导加载程序不允许计算机在没有正确密码的情况下启动。即使提供了正确的密码，一旦系统启动，数据仍然会被加密。
• 在某些情况下可以恢复启动密码和加密密钥。
• 黑客还经营一个 Telegram 频道和 Twitter 帐户，在那里他们宣布他们添加到泄密网站的新受害者。

攻击者进入受害者网络后，将会收集网络中机器的信息并将其组合成一个victim_info列表。这包含域名、机器名称和管理员凭据，并用于编译特制PyDCrypt恶意软件。该恶意软件通常从C:\Users\Public\csrss.exe路径运行，负责在网络内部自我复制并释放主要的加密有效负载DCSrv，感染链如下：

到目前为止，Moses Staff 已经在他们的泄密网站上列出了 16 名受害者。在撰写本文时，该组织仍然活跃，并在上周六宣布了 8200部队的泄漏文件，并于周日泄露了据称从以色列政府本身获得的以色列 3D 图像地图。

总结

由于缺乏任何具体证据，研究人员拒绝将该组织归因到任何国家。但他们发现，在 Moses Staff 首次攻击前几个月，该组织的一些恶意软件样本从巴勒斯坦 IP 地址提交给 VirusTotal 网络恶意软件扫描程序。目前，MosesStaff 仍然活跃，他们会在社交网络帐户中推送带挑衅性的消息和视频。由于该组织攻击中使用的不是零日漏洞，因此所有潜在受害者都可以通过立即修补所有面向公众的系统漏洞来保护自己。