Eine Analyse von Secureworks zeigt, dass COBALT SAPLING wahrscheinlich sowohl für Moses Staff als auch für Abraham´s Ax Hacktivist Personas verantwortlich ist
Secureworks, veröffentlichte heute die neueste Analyse seiner Counter Threat Unit (CTU), aus der hervorgeht, dass die iranische Bedrohungsgruppe COBALT SABLING mit einer neuen Persona, Abraham’s Ax, wieder aufgetaucht ist. Dies basiert auf neuen Erkenntnissen, welche die Verbindung zu Moses Staff belegen – einer bekannten COBALT SAPLING Hacktivist Persona. Moses Staff, seit September 2022 aktiv, ist dafür bekannt, israelische Unternehmen ins Visier zu nehmen, um sensible Daten zu stehlen und zu leaken.
Moses Staff stilisiert sich selbst als antiisraelische und pro-palästinensische Bedrohungsgruppe mit dem primären Ziel, israelische Unternehmen zu schikanieren und zu stören. Die Analyse zeigt, dass die Abraham´s Ax-Persona ebenfalls dazu benutzt wird, Ministerien der saudi-arabischen Regierung anzugreifen. Dies ist wahrscheinlich eine Reaktion auf die Führungsrolle Saudi-Arabiens bei der Verbesserung der Beziehungen zwischen Israel und den arabischen Nationen und der Verbindung beider Personas mit COBALT SAPLING.
Die CTU bezeugte die Entstehung von Abraham´s Ax im November 2022, und obwohl sie kein direkter Ersatz für Moses Staff ist, weist sie auffallende Ähnlichkeiten in ihrer Ikonographie, Videografie und den Leak-Sites auf. Die Logos beider Gruppen zeigen ähnliche Bilder, wobei das Abraham’s Ax-Logo eine aus einem Ärmel ausgetreckte Faust zeigt, die eine Axt hält. Moses Staff zeigt ebenfalls eine geballte Faust, die einen Stab hält. Sowohl Abraham’s Ax als auch Moses Staff verwenden einen WordPress-Blog als Grundlage für ihre Leak-Sites, einschließlich religiöser Zitate auf ihrer Website. Die Gruppen haben zudem Videos als Teil ihrer Operationen produziert und veröffentlicht, mit deutlichen Wiederholungen in der Ikonographie zwischen den beiden Gruppen.
Basierend auf den Ähnlichkeiten mit Moses Staff ist es plausibel, dass die Bedrohungsakteure hinter Abraham’s Ax die gleiche angepasste Malware verwenden, die als kryptografischer Wiper fungiert und Daten verschlüsselt, ohne dass die Gruppe anbietet, Schlüssel gegen Bezahlung freizugeben. Die Gruppe verschleiert ihre Absicht hinter kriminellen und hacktivistischen Taktiken, operiert aber ohne klares Gewinnmotiv, wobei die Angriffe politisch motiviert zu sein scheinen und sich auf Störung und Einschüchterung konzentrieren.
„Es gibt klare politische Motivationen hinter dieser Gruppe mit Informationskampagnen, die darauf abzielen, die heiklen israelisch-saudi-arabischen Beziehungen zu destabilisieren, zumal Saudi-Arabien die Gespräche mit Israel über die Normalisierung der Beziehungen fortsetzt“, kommentierte Rafe Pilling, Principal Researcher, Secureworks Counter Threat Unit. „Der Iran hat eine Historie in der Verwendung von Proxy-Gruppen und fabrizierten Personas, um regionale und internationale Gegner ins Visier zu nehmen. In den letzten Jahren ist eine zunehmende Anzahl krimineller und hacktivistischer Personas aufgetaucht, die vermeintliche Feinde des Iran ins Visier nehmen und es gleichzeitig der iranischen Regierung ermöglicht, jegliche Verantwortung für diese Angriffe leugnen zu können. Dieser Trend dürfte sich fortsetzen.“
Über Secureworks
Secureworks ist ein Anbieter von Cybersicherheit, der den Fortschritt seiner Kunden mit Secureworks Taegis schützt, einer Cloud-nativen Sicherheitsanalyseplattform, die auf 20+ Jahren Real-World Threat Intelligence und -forschung aufbaut und die Fähigkeit der Kunden verbessert, fortschrittliche Bedrohungen zu erkennen, Untersuchungen gemeinsam durchzuführen und zu rationalisieren und die richtigen Maßnahmen zu automatisieren.