黑客组织“摩西工作人员”在勒索软件攻击中使用新的StrifeWater RAT

一个有政治动机的黑客组织与2021以色列实体的一系列间谍活动和破坏活动结合在一起，将先前未经证实的远程访问木马（RAT）伪装成Windows计算器应用程序，作为有意识地努力留在雷达下的一部分。

网络安全公司Cybereason一直在追踪伊朗演员摩西·斯塔夫的行动，称其为“恶意软件”."

Cybereason安全分析师汤姆·法克特曼（Tom Fakterman）在一份报告中说：“StrifeWater老鼠似乎是在攻击的初始阶段使用的，这种隐形老鼠有能力从系统中移除自己，以掩盖伊朗组织的踪迹。”。“RAT还具有其他功能，如命令执行和屏幕捕获，以及下载其他扩展的能力。”

摩西的工作人员在去年年底曝光时，“检查点研究”揭开了自2021年9月以来针对以色列组织的一系列攻击，目的是通过加密他们的网络扰乱目标的商业运作，没有选择重新获得访问权或协商赎金。

这些入侵行为值得注意的是，它们依赖开源库DiskCryptor来执行卷加密，此外还通过引导加载程序感染系统，从而阻止系统在没有正确加密密钥的情况下启动。

到目前为止，据报道，受害者已经超出了以色列，包括意大利、印度、德国、智利、土耳其、阿联酋和美国。

Cybereason发现的新攻击谜题以RAT的形式出现，RAT以“calc.exe”（Windows计算器二进制代码）的名义部署，在感染链的早期阶段使用，只在部署文件加密恶意软件之前被删除。

研究人员怀疑，删除恶意计算器可执行文件并随后将其替换为合法的二进制文件，是威胁行为人试图掩盖特洛伊木马的踪迹并清除其证据，更不用说在勒索软件有效载荷执行到攻击的最后阶段之前，它们能够逃避检测。

就StrifeWater而言，它与同类产品没有什么不同，并具有许多功能，其中最主要的功能是列出系统文件、执行系统命令、截屏、创建持久性，以及下载更新和辅助模块。

“摩西团队的最终目标似乎更具政治动机，而非财务，”法克特曼总结道。“摩西的工作人员在外泄后使用勒索软件不是为了经济利益，而是为了扰乱行动，混淆间谍活动，并破坏系统，以推进伊朗的地缘政治目标。”