【安全资讯】Moses Staff组织针对以色列实体发起间谍活动
引言
Moses Staff是出于政治动机的黑客组织,研究人员观察到,该组织在过去几个月中,使用自定义的多组件工具集,持续针对以色列组织发起间谍活动。
简况
Moses Staff于 2021 年底首次被公开,据信与伊朗政府有关,曾攻击以色列、意大利、印度、德国、智利、土耳其、阿联酋和美国的实体。在对Moses Staff组织进行了仔细分析后,研究人员发现,该组织已经活跃了一年多,一直设法以极低的检测率保持在雷达之下。
本月早些时候,研究人员曾披露,Moses Staff黑客组织使用了一个名为“ StrifeWater ”的先前未记录的远程访问木马 (RAT),该木马伪装成 Windows Calculator 应用程序以规避检测。
Moses Staff组织最新的威胁活动涉及一种攻击路径,利用 Microsoft Exchange 服务器中的ProxyShell漏洞作为初始感染媒介来部署两个 Web Shell,成功感染后,攻击者从受感染的服务器中窃取PST文件和其他敏感数据。随后攻击者试图通过使用 LOLBin创建lsass.exe的内存转储来窃取凭据,最后释放并安装后门组件。
加载程序位于C:\Windows\System32\drvguard.exe中。当使用“ -I ”命令行参数执行时,它会将自身安装为名为DriveGuard的服务。加载程序负责执行后门组件,然后监视其进程。此外,它还启动了一个看门狗机制,通过每次停止时重新启动 DriveGuard 来确保服务永远不会中断。流程图如下:
总结
Moses Staff组织积极性高、能力强,致力于破坏以色列实体。尽管Moses Staff组织目前的攻击是出于间谍目的,但该威胁组织也可能在未来发起破坏性攻击。
失陷指标(IOC)5
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享