فعالیت گروه هکری عصای موسی در استفاده از تروجان جدید به ایران نسبت داده شد
به تازگی محققان امنیت سایبری یک تروجان ثبت نشده را کشف کردهاند. آنها احتمال میدهند که یک گروه APT ایرانی از سال 2021 میلادی از این تروجان برای مورد هدف قرار دادن سازمانهای اسرائیلی و سایر کشورها و آسیب رساندن به زیرساختهای آنها استفاده کرده است.
آنها ادعا نموده اند، این گروه ایرانی که توسط محققان سایبری Cybereason تحت عنوان عصای موسی شناخته شده فعالیتهای خود را با هدف سرقت دادههای حساس، حداقل از سپتامبر 2021 آغاز کرده است. نصب بدافزارهای رمزنگاری جهت ایجاد اختلال در عملکرد کسبوکارها و پوشش ردپای فعالیتهای آن از جمله اقدامات گروه عصای موسی میباشد. هدف اصلی این گروه به هیچ وجه منافع مالی نیست.
گروه سایبری عصای موسی
برای اولین بار در سال 2021 میلادی محققان شرکت Check Point فعالیتهای مخرب گروه عصای موسی را پس از اجرای حملات گسترده بر ضد سازمانهای اسرائیلی ثبت نمودند. البته در طی دو سال اخیر، چندین گروه سازمانهای مختلف این کشور را با عملیاتی مشابه حملات باجافزاری مورد هدف قرار داده بودند. از این رو بررسیهای طولانی صورت گرفته و در نهایت گروه عصای موسی که صرفاً دارای اهداف و انگیزههای سیاسی بسیار زیادی بوده و در پی منافع مالی نمیباشد نسبت به سایر گروههای سایبری توجه بیشتری را به خود جلب کرد.
در نهایت این گروه نیز اعلام کرد که هدف آن از انجام چنین عملیاتی افشای دادههای سازمانهای اسرائیلی، آسیب رساندن به آنها و ایجاد اختلال در عملکردشان بدون دریافت باج است. با این وجود عصای موسی پس از حمله به سازمانهای اسرائیلی، شرکتهایی در ایتالیا، هندوستان، آلمان، شیلی، ترکیه، امارات و آمریکا را هم مورد هدف قرار داد.
محققان امنیتی Cybereason میگویند: «با توجه به تحقیقات صورت گرفته در راستای تحلیل و بررسی دقیق رفتار و عملکرد گروه عصای موسی، این گروه از جاسوسی و خرابکاری سایبری برای پیشبرد اهداف ژئوپلیتیک یا همان سیاست جغرافیایی ایران از طریق ایجاد خرابکاری و گسترش ترس استفاده میکند».
گروه عصای موسی با سوءاستفاده از آسیبپذیریهای شناخته شده موجود در سرورهای عمومی مثل Microsoft Exchange به سیستمهای سازمانی دسترسی یافته و سپس با استفاده از ابزارهای مدیریتی مثل PsExec، خط فرمان مدیریت ویندوز (WMIC) و پاورشل در این سیستمها حرکت عرضی کرده است. سایر گروههای باجافزاری و APT نیز از چنین رویکردی برای نفوذ به سیستمها و دسترسیهای مدیریتی استفاده میکنند.
PyDCrypt و DCSrv از جمله بدافزارهای ثبت شدهای هستند که به صورت اختصاصی توسط این گروه مورد استفاده قرار میگیرند. PyDCrypt یک ابزار رایگان برای بارگذاری بدافزار مبتنی بر پایتون با هدف اجرای DCSrv است. DCSrv نیز یک نسخه از ابزار بدافزاری شناخته شده DiskCryptor میباشد. هر قربانی یک نسخه اختصاصی از DiskCryptor را که اعتبارنامههای ادمین، دامنه محلی و فهرست ماشینهایی که قرار است آلوده شوند در آن ثبت شده است دریافت میکند. بنابراین گروه عصای موسی پیش از رسیدن به مرحله استقرار PyDCrypt بررسیهای لازم را در شبکه قربانی انجام داده و یک نقشه واضح از محیط هدف به دست میآورد.
تروجان StrifeWater
اگرچه اطلاعات چندان زیادی درباره مرحله اکتشاف و بررسی شبکه در دسترس نیست اما محققان Cybereason معتقدند که حلقه گمشده را پیدا کردهاند. آنها طی انجام تحقیقات گسترده خود به یک تروجان دسترسی از راه دور که مهاجمان گروه عصای موسی ابتدا آن را نصب و در مراحل بعدی حمله حذف میکنند دست یافتهاند.
این تروجان با نام اصلی StrifeWater بوده و با عنوان calc.exe نصب میشود. از این رو بعضی از سیستمهای آلوده شده فاقد ماشین حساب ویندوز بودند که نام پردازش آن هم calc.exe است و گمان میرود در مرحله پاکسازی توسط این گروه حذف شده است. تهیه فهرست فایلهای سیستمی، اجرای فرمانهای پوسته، ثبت تصویر صفحه، حضور مستمر از طریق اجرای یک کار زمانبندی شده و دانلود ماژولهای جانبی مخرب برای گسترش قابلیتهای این تروجان از جمله امکانات آن هستند.
تروجان StrifeWater شامل یک آدرس آیپی و URL برای ارتباط با سرور فرماندهی و کنترل ثبت شده است اما مشاهده میشود که این تروجان با یک دامنه خاص هم ارتباط برقرار میکند. زمانی که StrifeWater برای اولین بار نصب شود، اطلاعات مربوط به نام سیستم، حساب کاربری، نسخه سیستم عامل، معماری پردازنده، منطقه زمانی و سطح دسترسی کاربر را جمعآوری میکند.
بنا به گفته محققان Cybereason: «اگرچه از تروجان دسترسی از راه دور StrifeWater فقط در مراحل اولیه حمله استفاده میشود اما ممکن است این تروجان از جمله ابزارهای اصلی برای ایجاد یک جای پای مستمر در محیطهای قربانی باشد». محققان امنیتی Cybereason میگویند: «گردانندگان گروه عصای موسی تا پیش از آخرین مرحله حمله، تلاشهای زیادی برای پیشگیری از شناسایی انجام میدهند و در مرحله آخر نیز پیلود باجافزار را نصب و اجرا میکنند». همچنین براساس تحقیقات صورت گرفته گروه عصای موسی تلاش میکند تجهیزات و ابزارهای خودش را به عنوان نرمافزارهای مجاز و عادی ویندوز جلوه داده و ابزارهای شناسایی و حضور اولیهاش را حذف کند».
منبع: csoonline