MosesStaff Mengunci Target, Tanpa Permintaan Tebusan, Tanpa Dekripsi

Kelompok peretasan MosesStaff membidik serangan destruktif bermotivasi politik pada target Israel, berusaha menimbulkan kerusakan sebesar mungkin, para peneliti memperingatkan.

Tidak seperti peretas anti-Zionis lainnya seperti geng Pay2Key dan BlackShadow, yang berupaya memeras korbannya dan menyebabkan rasa malu, MosesStaff mengenkripsi jaringan dan mencuri informasi, tanpa bermaksud meminta tebusan atau memperbaiki kerusakan. Itu menurut Check Point Research (CPR), yang mulai mengamati aktivitas MosesStaff pada bulan September.

Grup ini juga mempertahankan kehadiran media sosial yang aktif, mendorong pesan dan video provokatif di seluruh salurannya, dan membuat niatnya diketahui.

“Dalam bahasa para penyerang, tujuan mereka adalah untuk ‘melawan perlawanan dan mengungkap kejahatan Zionis di wilayah pendudukan,`” peneliti menjelaskan dalam posting Senin. “Tidak ada permintaan tebusan dan tidak ada opsi dekripsi; motif mereka murni politis.”

Known Vulnerabilities

MosesStaff (dinamai setelah Staf Musa disebutkan dalam Kitab Keluaran, yang digunakan untuk membelah Laut Merah untuk melarikan diri dari Israel, antara lain) mengeksploitasi kerentanan yang diketahui di Microsoft Exchange Server untuk mencapai awal kompromi, CPR mencatat. Kemudian, untuk melakukan serangannya, penyerang membuka webshell yang dilindungi kata sandi dan dikaburkan.

Menggunakan akses ini, pelaku ancaman melanjutkan untuk menyebarkan beberapa alat tambahan, menurut analisis:

<

ul>

  • Beberapa skrip batch yang dapat mengaktifkan berbagi SMB atau menonaktifkan Firewall Windows pada mesin jarak jauh tertentu;liu

    <

    ul>iSalinan PsExec, alat portabel dari Microsoft yang memungkinkan proses berjalan dari jarak jauh dengan kredensial pengguna mana pun; andliu

      iOICe.exe, Go kecil yang dapat dieksekusi untuk menjalankan perintah. Ini mungkin digunakan pada server yang disusupi pada langkah awal serangan untuk menghindari eksekusi proses anak yang mencurigakan seperti cmd atau PowerShell.

    Langkah selanjutnya adalah mengumpulkan informasi tentang mesin di jaringan, termasuk nama domain, nama mesin, dan kredensial administrator. CPR mengatakan daftar ini kemudian digunakan untuk mengkompilasi malware khusus lingkungan khusus yang disebut PyDCrypt – pendahulu payload utama, yang ternyata menggunakan mekanisme enkripsi yang cacat. daftar informasi untuk bergerak secara lateral di seluruh jaringan, mereplikasi dirinya sendiri di dalam jaringan menggunakan alat yang tersedia seperti PowerShell, PSExec atau WMIC, dan menginstal PSExec, skrip batch, dan muatan enkripsi utama pada setiap mesin.

    Muatan enkripsi utama adalah malware khusus lain yang disebut DCSrv, menurut penulisan. Ini menyamar sebagai proses svchost.exe yang sah dan hanya berfokus pada mengenkripsi semua volume komputer. Ini menampilkan aliran eksekusi tiga bagian yang terdiri dari penginstalan driver, enkripsi volume, dan penginstalan boot loader.

    Tindakan pertama adalah membuat dua layanan bernama DCUMSrv dan DCDrv. Yang pertama memberikan ketekunan di seluruh startup. DCDrv, sementara itu, menjalankan driver filter yang disediakan DCDrv.sys, yang pada gilirannya menyebarkan enkripsi.

    “Ketika malware selesai menginstal driver, ia melakukan reboot setelah beberapa menit untuk membuat driver beroperasi,” analis CPR menjelaskan. “Pada putaran kedua, malware menunggu waktu yang tepat yang diberikan dalam konfigurasi sebelum meledakkan mekanisme enkripsinya. Ini adalah bukti lain bahwa muatan ditargetkan dan dibuat per korban.”

    Mekanisme enkripsi inti ini didasarkan pada perpustakaan sumber terbuka DiskCryptor, “untuk melakukan enkripsi volume dan mengunci komputer korban dengan bootloader yang tidak akan mengizinkan mesin untuk boot tanpa kata sandi yang benar,” menurut writeup.

    Breakable Encryption

    Kabar baiknya adalah bahwa mendekripsi sistem korban dimungkinkan, CPR ditemukan.

    “Geng ransomware paling terkenal (misalnya Conti, REvil, Lockbit dll.), hampir tanpa kecuali , selalu pastikan bahwa sistem enkripsi mereka dirancang dengan baik dan tidak dapat diganggu gugat,” kata para peneliti. “Untuk alasan apa pun, termasuk motivasi non-finansial, kurangnya pengalaman dengan ransomware atau keterampilan pengkodean amatir, grup MosesStaff tidak melakukan banyak upaya.”

    Dan memang, CPR menemukan dua opsi untuk berpotensi membalikkan enkripsi, seperti yang dirinci dalam posting:

    <

    ul>

  • Opsi pertama dan terpenting adalah melihat log produk deteksi dan respons titik akhir (EDR) jika dipasang di lingkungan. EDR yang dirancang dengan baik merekam semua pembuatan proses, bersama dengan parameter baris perintahnya, yang merupakan kunci dalam kasus kami.liu
      iOpsi kedua adalah mengekstrak dan membalikkan malware PyDCrypt yang menyerang korban sejak awal. Metode ini sedikit lebih rumit karena kode menghapus dirinya sendiri setelah selesai dijalankan. Dari sampel PyDCrypt, kita dapat mengekstrak fungsi hashing yang dibuat yang menghasilkan kunci per komputer.

    Dari sana, kunci yang diekstraksi ini dapat dicolokkan ke layar login boot, membuka kunci komputer dan memulihkan akses ke sistem operasi.

    “Mereka membuat kesalahan besar ketika mereka menyusun skema enkripsi mereka sendiri, yang sejujurnya merupakan kejutan di lanskap saat ini di mana setiap penjahat dunia maya dua-bit tampaknya tahu setidaknya dasar-dasar cara menyatukan ransomware yang berfungsi,” menurut CPR.

    Itu mengatakan, “ disk tetap terenkripsi dan boot loader DiskCryptor aktif setiap kali restart,” menurut CPR. “Ini dapat diselesaikan dengan membuat program sederhana yang memulai IOCTL yang tepat ke driver DiskCryptor, dan akhirnya, menghapusnya dari sistem.”

    Attribution

    Jika menyangkut atribusi, bukti kuat tidak ada siapa yang berada di belakang MosesStaff. Peneliti CPR memang melihat salah satu alat yang digunakan dalam serangan itu, OICe.exe, dikirimkan ke VirusTotal dari Palestina beberapa bulan sebelum serangan dimulai.

    “Meskipun ini bukan indikasi kuat, ini mungkin mengkhianati asal-usul penyerang; terkadang mereka menguji alat di layanan publik seperti VirusTotal untuk memastikan mereka cukup tersembunyi,” jelas peneliti.

    Indikator potensial lainnya melibatkan grafik yang digunakan di situs web grup, moses-staff[.]se. Menurut metadata gambar, ini semua dibuat di zona waktu GMT+3, yang merupakan zona waktu untuk Israel dan Palestina.

    Untuk menjaga diri mereka tetap terlindungi, sistem patching adalah tempat yang baik untuk memulai organisasi, catat CPR.

    “MosesStaff memiliki modus operandi khusus untuk mengeksploitasi kerentanan di server yang menghadap publik, kemudian menggunakan kombinasi alat unik dan manuver hidup di luar negeri untuk meninggalkan jaringan yang ditargetkan terenkripsi, dengan enkripsi yang digunakan semata-mata untuk tujuan penghancuran,” kata CPR peneliti. “Kerentanan yang dieksploitasi dalam serangan grup bukanlah zero days, dan oleh karena itu semua calon korban dapat melindungi diri mereka sendiri dengan segera menambal semua sistem yang dapat diakses publik.”

    TOMORROW!! Ingin memenangkan kembali kendali atas sandi tipis yang ada di antara jaringan Anda dan serangan siber berikutnya? Bergabunglah dengan Darren James, kepala TI internal di Specops, dan Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, untuk mengetahui caranya selama acara LIVE Threatpost gratis, “Reset Kata Sandi: Mengklaim Kontrol Kredensial untuk Menghentikan Serangan,” pada Rabu ., 17 November jam 2 siang ET. Disponsori oleh Specops.

    Daftar SEKARANG untuk acara LANGSUNG!
    Tulis komentar
    Bagikan artikel ini:

  • Malwareliu
      iKerentanan