استفاده گروه هکری عصای موسی از RAT جدید StrifeWater


به این مطلب امتیاز دهید

گروه هکری عصای موسی با انگیزه های سیاسی که به یک سری حملات جاسوسی به نهادهای اسرائیلی در سال 2021 مرتبط هستند، برای شناسایی نشدن، RAT جدید StrifeWater که قبلاً شناسایی نشده بود را به عنوان ماشین حساب ویندوزی جا زدند.

تام فاکترمن، تحلیلگر امنیت Cybereason در گزارشی گفت: «به نظر می‌ رسد RAT StrifeWater در مراحل اولیه حملات استفاده می‌شود و این RAT توانایی حذف آثار خود را از سیستم برای پوشش رد پاهای گروه ایرانی داراست». این RAT دارای قابلیت‌ های دیگری مانند اجرای فرمان و تصویر برداری از صفحه، و همچنین توانایی دانلود افزونه‌ های اضافی است.

عصای موسی در اواخر سال گذشته هنگامی که شرکت CheckPoint Research مجموعه‌ ای از حملات را که از سپتامبر 2021 علیه سازمان‌ های اسرائیلی با هدف مختل کردن عملیات های تجاری از طریق رمزگذاری شبکه، بدون امکان دسترسی مجدد به آن یا پرداخت باج بود، آشکار کرد.

این نفوذ ها از این جهت قابل توجه هستند که برای انجام رمزگذاری به کتابخانه متن باز DiskCryptor متکی بودند، و علاوه بر این که سیستم ها را با یک Boot Loader  آلوده می کردند که از راه اندازی آنها بدون کلید رمزگذاری صحیح جلوگیری می کند.

RAT جدید StrifeWater

تا به امروز، قربانیان فراتر از اسرائیل، از جمله ایتالیا، هند، آلمان، شیلی، ترکیه، امارات متحده عربی و ایالات متحده گزارش شده است. قطعه جدید پازل, حمله کشف شده توسط Cybereason به شکل یک RAT است که تحت ماشین حساب ویندوز فعالیت میکند و در مراحل اولیه زنجیره آلودگی استفاده می شود، و قبل از آلوده شدن سیستم به باج افزار اصلی حذف میشود. به گمان محققان، حذف و جایگزینی باج افزار با فایل اجرایی ماشین حساب ویندوز، تلاشی از سوی گروه هکری برای پوشاندن تلاش و پاک کردن شواهد تروجان است. جدا این مسئله این اقدام آنها را قادر می سازد تا زمان اجرای آخرین مرحله حمله یعنی رمز کردن سیستم توسط باج افزار شناسایی نشوند. StrifeWater، به نوبه خود، هیچ تفاوتی با همتایان خود ندارد و دارای ویژگی های متعددی است که از جمله مهمترین آنها می توان به لیست کردن فایل های سیستم، اجرای دستورات سیستم، گرفتن عکس از صفحه نمایش، ایجاد پایداری، و دانلود به روز رسانی ها و ماژول های کمکی اشاره کرد.

فاکترمن در پایان گفت: “به نظر می رسد که هدف نهایی برای گروه هکری عصای  موسی بیشتر انگیزه سیاسی باشد تا مالی.” «عصای موسی پس از نفوذ اولیه از باج افزار نه برای منافع مالی، بلکه برای ایجاد اختلال در عملیات، مخفی کردن فعالیت‌ های جاسوسی و آسیب رساندن به سیستم‌ ها برای پیشبرد اهداف ژئوپلیتیکی ایران استفاده می‌کنند».

 

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.