# Abraham's Ax - Moses Staff Ataques Destrutivos 2022 > [!high] Campanha Destrutiva - Wiper com Motivação Geopolítica > Campanha de ataques destrutivos pelo grupo Moses Staff (Iran-nexus) contra organizações israelenses usando o wiper AbrahamWiper. Combinação de destruição de dados com defacement de sites e pressão psicológica - característica das operações de influência iranianas com componente cibernético. ## Visão Geral A campanha **Abraham's Ax** representa uma das operações destrutivas mais agressivas do grupo [[g1009-moses-staff|Moses Staff]] - um ator de ameaça com nexo iraniano especializado em operações de sabotagem e pressão psicológica contra Israel. A campanha tomou o nome de um canal Telegram criado pelos operadores para divulgar evidências de comprometimento e dados roubados das vítimas, amplificando o impacto psicológico além do técnico. O [[abrahamwiper|AbrahamWiper]] - o malware destrutivo central desta campanha - difere do ransomware tradicional em um aspecto crítico: não há opção de recuperação mediante pagamento. O objetivo é puramente destrutivo, visando eliminar dados e causar interrupção operacional máxima. Esta abordagem é consistente com o perfil do Moses Staff, que diferentemente de grupos de ransomware financeiramente motivados, opera com objetivos geopolíticos alinhados com interesses do governo iraniano. As vítimas incluíram organizações dos setores governamental, financeiro e de transportes em Israel. O grupo combinou a destruição técnica com operações de informação: defacement de sites públicos, divulgação de dados roubados, e comunicação proativa com imprensa para maximizar o dano reputacional. O Moses Staff utiliza frequentemente vulnerabilidades conhecidas em servidores Microsoft Exchange e FortiOS como vetor de acesso inicial, aproveitando-se da lenta cadência de patch de organizações que enfrentam restrições de janela de manutenção. **Plataformas:** Windows ## Cadeia de Infecção ```mermaid graph TB A["💥 Acesso inicial<br/>Exploit em Exchange/FortiOS<br/>CVEs públicos não patcheados"] --> B["🔑 Movimento lateral<br/>ProxyShell ou credenciais<br/>comprometidas via LDAP"] B --> C["💾 Deploy AbrahamWiper<br/>via PowerShell remoto<br/>ou WMI em múltiplos hosts"] C --> D["🔒 MBR overwrite<br/>sobrescreve Master Boot Record<br/>sistema inicia em modo destruição"] D --> E["💀 Destruição de dados<br/>arquivos sobrescritos<br/>sistema inoperável"] E --> F["🌐 Defacement web<br/>sites da organização<br/>com mensagem política"] F --> G["📢 Divulgação no Telegram<br/>Abraham's Ax channel<br/>evidências de comprometimento"] ``` **Comparação com ransomware - motivação destrutiva:** ```mermaid graph TB A{"Motivação do atacante"} A -- Financeira --> B["💰 Ransomware<br/>criptografia reversível<br/>chave vendida por resgate"] A -- Geopolítica --> C["💥 Wiper destrutivo<br/>destruição permanente<br/>sem opção de recuperação"] C --> D["🎯 Objetivo: interrupção<br/>dano reputacional<br/>pressão psicológica"] B --> E["🎯 Objetivo: lucro<br/>resgate monetário<br/>modelo de negócio"] ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | Acesso inicial via Exchange ou FortiOS vulnerável | | [[t1059-001-powershell\|T1059.001]] | PowerShell | Deploy remoto do AbrahamWiper em hosts da rede | | [[t1485-data-destruction\|T1485]] | Data Destruction | AbrahamWiper sobrescreve MBR e arquivos | | [[t1491-002-external-defacement\|T1491.002]] | External Defacement | Defacement de sites públicos das vítimas | | [[t1078-valid-accounts\|T1078]] | Valid Accounts | Uso de credenciais comprometidas para movimento lateral | ## Wiper AbrahamWiper - Funcionamento O **AbrahamWiper** é um malware destrutivo que implementa destruição em duas camadas: 1. **MBR Overwrite**: Sobrescreve o Master Boot Record com código não-funcional, impedindo o sistema de iniciar normalmente 2. **File Wiper**: Sobrescreve o conteúdo de arquivos por extensão (documentos, bancos de dados, imagens de backup) com bytes aleatórios, tornando a recuperação impossível mesmo com ferramentas forenses A destruição é irreversível sem backups offsite. Organizações que mantinham backups conectados à rede tiveram também os backups destruídos na mesma operação. ## Contexto Geopolítico O Moses Staff é um dos vários grupos iranianos que conduz operações cibernéticas destrutivas contra Israel em paralelo com tensões geopolíticas. Esta campanha ocorreu em contexto de intensificação das operações de influência iranianas, com múltiplos grupos coordenando ataques técnicos e informativos simultaneamente. A criação de um canal Telegram público para divulgação é característica do modelo iraniano: combinar destruição técnica real com amplificação informacional para maximizar percepção de dano. ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > O padrão de combinar destruição técnica com operações de informação via Telegram está sendo replicado por grupos hacktivistas em outros contextos geopolíticos. Servidores Microsoft Exchange e appliances Fortinet são amplamente usados por organizações brasileiras e as mesmas vulnerabilidades exploradas pelo Moses Staff afetam essas instalações. Embora o Moses Staff não tenha histórico de ataques diretos no Brasil, a campanha Abraham's Ax é relevante por duas razões: 1. **Modelo de wiper + influência**: O padrão de combinar destruição técnica com operações de informação em Telegram/redes sociais está sendo replicado por grupos hacktivistas em outros contextos geopolíticos, incluindo conflitos que envolvem atores com presença na América Latina 2. **Vetor Exchange/FortiOS**: Os servidores Microsoft Exchange e appliances Fortinet são amplamente utilizados por organizações brasileiras, e as mesmas vulnerabilidades exploradas pelo Moses Staff afetam essas instalações ## Detecção **Indicadores de comprometimento:** - Processo sobrescrevendo MBR via `\\.\PhysicalDrive0` (API Windows de acesso direto a disco) - PowerShell executando de forma remota via WMI com comandos de cópia de binário - Processo acessando grande volume de arquivos de documentos sequencialmente (comportamento wiper) **Fontes de dados:** - **Sysmon Event ID 1:** Processos acessando `PhysicalDrive` diretamente - **Windows Security Event ID 4688:** Criação de processo suspeito com parâmetros de acesso a disco - **EDR behavioral:** Acesso massal a arquivos por processo não reconhecido **Regras de detecção:** - Sigma: `proc_creation_win_susp_disk_access.yml` - acesso direto a discos físicos - Sigma: `proc_creation_win_mbr_overwrite.yml` - sobrescrita do MBR ## Referências - [1](https://attack.mitre.org/groups/G1009/) MITRE ATT&CK - Moses Staff (G1009) - [2](https://www.checkpoint.com/research/moses-staff-targeting-israeli-companies/) Check Point Research - Moses Staff Analysis - [3](https://thedfirreport.com/) The DFIR Report - Wiper Malware Analysis Patterns - [4](https://www.mandiant.com/resources/blog/iranian-cyber-operations) Mandiant - Iranian Cyber Operations Overview