De nouvelles recherches ont lié les opérations d’un groupe hacktiviste politiquement motivé connu sous le nom de Moses Staff à un autre acteur menaçant naissant nommé Abraham’s Axe qui a émergé en novembre 2022.
Ceci est basé sur « plusieurs points communs entre l’iconographie, la vidéographie et les sites de fuite utilisés par les groupes, suggérant qu’ils sont probablement exploités par la même entité », a déclaré Secureworks Counter Threat Unit (CTU) dans un rapport partagé avec breachtrace.
Moses Staff, suivi par la société de cybersécurité sous le nom de Cobalt Sapling, a fait sa première apparition dans le paysage des menaces en septembre 2021 dans le but de cibler principalement les organisations israéliennes.
On pense que le groupe géopolitique est parrainé par le gouvernement iranien et a depuis été lié à une série d’attaques d’espionnage et de sabotage qui utilisent des outils tels que StrifeWater RAT et des utilitaires open source tels que DiskCryptor pour collecter des informations sensibles et verrouiller les données des victimes sur les personnes infectées. hôtes.
L’équipage est également connu pour maintenir un site de fuite qui est utilisé pour distribuer des données volées à leurs victimes et diffuser leurs messages, qui incluent « dénoncer les crimes des sionistes en Palestine occupée ».
Maintenant, selon l’analyse de Secureworks, « le personnage de la hache d’Abraham est utilisé en tandem pour attaquer les ministères du gouvernement en Arabie saoudite » et que « c’est probablement en réponse au rôle de leadership de l’Arabie saoudite dans l’amélioration des relations entre Israël et les pays arabes ».
Pour sa part, Abraham’s Axe prétend opérer au nom de la Oummah du Hezbollah. Le Hezbollah, qui signifie « Parti d’Allah » en arabe, est un parti politique islamiste chiite libanais et un groupe militant soutenu par l’Iran.
Les chevauchements frappants dans le mode opératoire augmentent encore la possibilité que les opérateurs derrière Abraham’s Axe exploitent probablement le même logiciel malveillant personnalisé qui agit comme un essuie-glace cryptographique pour chiffrer les données sans offrir un moyen de récupérer les données dans les premiers stades.
De plus, les deux acteurs sont unis dans leurs motivations en ce sens qu’ils opèrent sans incitation financière, les intrusions prenant un ton plus perturbateur. Les connexions entre les deux groupes sont également mises en évidence par le fait que les sites de fuite basés sur WordPress étaient hébergés dans le même sous-réseau au début.
« L’Iran a l’habitude d’utiliser des groupes mandataires et des personnages fabriqués pour cibler des adversaires régionaux et internationaux », a déclaré Rafe Pilling, chercheur principal de Secureworks, dans un communiqué.
« Au cours des deux dernières années, un nombre croissant de personnalités de groupes criminels et hacktivistes ont émergé pour cibler des ennemis présumés de l’Iran tout en offrant un démenti plausible au gouvernement iranien concernant l’association ou la responsabilité de ces attaques. Cette tendance est susceptible de se poursuivre. »