【安全资讯】Moses Staff组织针对以色列实体发起间谍活动

引言

Moses Staff是出于政治动机的黑客组织，研究人员观察到，该组织在过去几个月中，使用自定义的多组件工具集，持续针对以色列组织发起间谍活动。

简况

Moses Staff于 2021 年底首次被公开，据信与伊朗政府有关，曾攻击以色列、意大利、印度、德国、智利、土耳其、阿联酋和美国的实体。在对Moses Staff组织进行了仔细分析后，研究人员发现，该组织已经活跃了一年多，一直设法以极低的检测率保持在雷达之下。

本月早些时候，研究人员曾披露，Moses Staff黑客组织使用了一个名为“ StrifeWater ”的先前未记录的远程访问木马 (RAT)，该木马伪装成 Windows Calculator 应用程序以规避检测。

Moses Staff组织最新的威胁活动涉及一种攻击路径，利用 Microsoft Exchange 服务器中的ProxyShell漏洞作为初始感染媒介来部署两个 Web Shell，成功感染后，攻击者从受感染的服务器中窃取PST文件和其他敏感数据。随后攻击者试图通过使用 LOLBin创建lsass.exe的内存转储来窃取凭据，最后释放并安装后门组件。

加载程序位于C:\Windows\System32\drvguard.exe中。当使用“ -I ”命令行参数执行时，它会将自身安装为名为DriveGuard的服务。加载程序负责执行后门组件，然后监视其进程。此外，它还启动了一个看门狗机制，通过每次停止时重新启动 DriveGuard 来确保服务永远不会中断。流程图如下：

总结

Moses Staff组织积极性高、能力强，致力于破坏以色列实体。尽管Moses Staff组织目前的攻击是出于间谍目的，但该威胁组织也可能在未来发起破坏性攻击。