Il Cybereason Nocturnus Team ha seguito il gruppo di hacker iraniano noto come Moses Staff negli ultimi mesi, dopo essere stato individuato per la prima volta nell’ottobre 2021. La motivazione del gruppo è quella di danneggiare le aziende israeliane facendo trapelare dati sensibili e rubati.
Oltre a Israele, che sembra essere l’obiettivo principale del gruppo, Moses Staff è stato osservato prendere di mira organizzazioni in altri paesi, tra cui Italia, India, Germania, Cile, Turchia, Emirati Arabi Uniti e Stati Uniti. Il gruppo ha già colpito una varietà di settori, tra cui il governo, la finanza, i viaggi, l’energia, la produzione e le utility.
A seguito di una ricerca pubblicata di recente che dettaglia le tattiche, le tecniche e le procedure (TTP) del gruppo, il team Cybereason Nocturnus ha scoperto un Trojan (RAT) di accesso remoto non identificato in precedenza nell’arsenale di Moses Staff, soprannominato StrifeWater.
“Il RAT StrifeWater sembra essere utilizzato nella fase iniziale dell’attacco e questo RAT furtivo ha la capacità di rimuoversi dal sistema per coprire le tracce del gruppo iraniano“, ha spiegato Cybereason. “Il RAT possiede altre capacità, come l’esecuzione di comandi e la cattura dello schermo, così come la capacità di scaricare estensioni aggiuntive.
Di solito, una volta che gli hacker si infiltrano in un’organizzazione e rubano dati sensibili, distribuiscono il ransomware per crittografare le macchine infette. A differenza dei gruppi di ransomware motivati dal punto di vista finanziario che criptano i file come leva per il pagamento di un riscatto, la crittografia dei file negli attacchi Moses Staff ha due scopi: infliggere danni interrompendo le operazioni aziendali critiche e coprire le tracce degli aggressori.
