Группировка эксплуатировала уязвимости ProxyShell в серверах Microsoft Exchange в качестве начального вектора заражения.

Иранская хакерская группировка под названием Moses Staff использовала многокомпонентный набор инструментов для осуществления шпионажа за израильскими организациями.

Как сообщили ИБ-специалисты из компании FortiGuard Labs, в ходе своей вредоносной кампании группировка эксплуатировала уязвимости ProxyShell в серверах Microsoft Exchange в качестве начального вектора заражения для установки двух web-оболочек с последующим хищением файлов данных Microsoft Outlook (.PST).

Последующие этапы атаки включают попытку кражи учетных данных путем сброса содержимого памяти критического процесса Windows Local Security Authority Subsystem Service (Lsass.exe), затем происходит установка бэкдора StrifeWater (broker.exe).

Установка имплантата для выполнения удаленных команд от командного сервера, загрузки файлов и хищения данных облегчается загрузчиком, который маскируется под «службу быстрой остановки жестких дисков», получившую название DriveGuard (drvguard.exe).

Кроме того, загрузчик также отвечает за запуск защитного механизма (lic.dll), который гарантирует непрерывность работы службы путем перезапуска DriveGuard каждый раз, когда процесс останавливается.

Бэкдор может удалять себя с диска с помощью команды CMD, делать снимки экрана и обновлять вредоносное ПО, чтобы заменить текущий модуль в системе файлом, полученным с сервера.

StrifeWater также известен своими возможностями обходить защитные шлюзы, выдавая себя за приложение Windows Calculator (calc.exe).

Вредоносная кампания была связана с группировкой Moses Staff на основе сходства web-оболочек, используемых в ранее зафиксированных атаках.

Источник: securitylab