فعالیت گروه هکری عصای موسی در استفاده از تروجان جدید به ایران نسبت داده شد

به تازگی محققان امنیت سایبری یک تروجان ثبت نشده را کشف کرده‌اند. آنها احتمال می‌دهند که یک گروه APT ایرانی از سال 2021 میلادی از این تروجان برای مورد هدف قرار دادن سازمان‌های اسرائیلی و سایر کشورها و آسیب رساندن به زیرساخت‌های آنها استفاده کرده است.

آنها ادعا نموده اند، این گروه ایرانی که توسط محققان سایبری Cybereason تحت عنوان عصای موسی شناخته شده فعالیت‌های خود را با هدف سرقت داده‌های حساس، حداقل از سپتامبر 2021 آغاز کرده است. نصب بدافزارهای رمزنگاری جهت ایجاد اختلال در عملکرد کسب‌وکارها و پوشش ردپای فعالیت‌های آن از جمله اقدامات گروه عصای موسی می‌باشد. هدف اصلی این گروه به هیچ وجه منافع مالی نیست.

گروه سایبری عصای موسی 

برای اولین بار در سال 2021 میلادی محققان شرکت Check Point فعالیت‌های مخرب گروه عصای موسی را پس از اجرای حملات گسترده بر ضد سازمان‌های اسرائیلی ثبت نمودند. البته در طی دو سال اخیر، چندین گروه سازمان‌های مختلف این کشور را با عملیاتی مشابه حملات باج‌افزاری مورد هدف قرار داده بودند. از این رو بررسی‌های طولانی صورت گرفته و در نهایت گروه عصای موسی که صرفاً دارای اهداف و انگیزه‌های سیاسی بسیار زیادی بوده و در پی منافع مالی نمی‌باشد نسبت به سایر گروه‌های سایبری توجه بیشتری را به خود جلب کرد.

در نهایت این گروه نیز اعلام کرد که هدف آن از انجام چنین عملیاتی افشای داده‌های سازمان‌های اسرائیلی، آسیب رساندن به آنها و ایجاد اختلال در عملکردشان بدون دریافت باج است. با این وجود عصای موسی پس از حمله به سازمان‌های اسرائیلی، شرکت‌هایی در ایتالیا، هندوستان، آلمان، شیلی، ترکیه، امارات و آمریکا را هم مورد هدف قرار داد.

محققان امنیتی Cybereason می‌گویند: «با توجه به تحقیقات صورت گرفته در راستای تحلیل و بررسی دقیق رفتار و عملکرد گروه عصای موسی، این گروه از جاسوسی و خرابکاری سایبری برای پیشبرد اهداف ژئوپلیتیک یا همان سیاست جغرافیایی ایران از طریق ایجاد خرابکاری و گسترش ترس استفاده می‌کند».

گروه عصای موسی با سوءاستفاده از آسیب‌پذیری‌های شناخته شده موجود در سرورهای عمومی مثل Microsoft Exchange به سیستم‌های سازمانی دسترسی یافته و سپس با استفاده از ابزارهای مدیریتی مثل PsExec، خط فرمان مدیریت ویندوز (WMIC) و پاورشل در این سیستم‌ها حرکت عرضی کرده است. سایر گروه‌های باج‌افزاری و APT نیز از چنین رویکردی برای نفوذ به سیستم‌ها و دسترسی‌های مدیریتی استفاده می‌کنند.

PyDCrypt و DCSrv از جمله بدافزارهای ثبت شده‌ای هستند که به صورت اختصاصی توسط این گروه مورد استفاده قرار می‌گیرند. PyDCrypt یک ابزار رایگان برای بارگذاری بدافزار مبتنی بر پایتون با هدف اجرای DCSrv است. DCSrv نیز یک نسخه از ابزار بدافزاری شناخته شده DiskCryptor می‌باشد. هر قربانی یک نسخه اختصاصی از DiskCryptor را که اعتبارنامه‌های ادمین، دامنه محلی و فهرست ماشین‌هایی که قرار است آلوده شوند در آن ثبت شده است دریافت می‌کند. بنابراین گروه عصای موسی پیش از رسیدن به مرحله استقرار PyDCrypt بررسی‌های لازم را در شبکه قربانی انجام داده و یک نقشه واضح از محیط هدف به دست می‌آورد.

 تروجان StrifeWater

اگرچه اطلاعات چندان زیادی درباره مرحله اکتشاف و بررسی شبکه در دسترس نیست اما محققان Cybereason معتقدند که حلقه گمشده را پیدا کرده‌اند. آنها طی انجام تحقیقات گسترده خود به یک تروجان دسترسی از راه دور که مهاجمان گروه عصای موسی ابتدا آن را نصب و در مراحل بعدی حمله حذف می‌کنند دست یافته‌اند.

این تروجان با نام اصلی StrifeWater بوده و با عنوان calc.exe نصب می‌شود. از این رو بعضی از سیستم‌های آلوده شده فاقد ماشین حساب ویندوز بودند که نام پردازش آن هم calc.exe است و گمان می‌رود در مرحله پاکسازی توسط این گروه حذف شده است. تهیه فهرست فایل‌های سیستمی، اجرای فرمان‌های پوسته، ثبت تصویر صفحه، حضور مستمر از طریق اجرای یک کار زمانبندی شده و دانلود ماژول‌های جانبی مخرب برای گسترش قابلیت‌های این تروجان از جمله امکانات آن هستند.

تروجان StrifeWater شامل یک آدرس آی‌پی و URL برای ارتباط با سرور فرماندهی و کنترل ثبت شده است اما مشاهده می‌شود که این تروجان با یک دامنه خاص هم ارتباط برقرار می‌کند. زمانی که StrifeWater برای اولین بار نصب شود، اطلاعات مربوط به نام سیستم، حساب کاربری، نسخه سیستم عامل، معماری پردازنده، منطقه زمانی و سطح دسترسی کاربر را جمع‌آوری می‌کند.

بنا به گفته محققان Cybereason: «اگرچه از تروجان دسترسی از راه دور StrifeWater فقط در مراحل اولیه حمله استفاده می‌شود اما ممکن است این تروجان از جمله ابزارهای اصلی برای ایجاد یک جای پای مستمر در محیط‌های قربانی باشد». محققان امنیتی Cybereason می‌گویند: «گردانندگان گروه عصای موسی تا پیش از آخرین مرحله حمله، تلاش‌های زیادی برای پیشگیری از شناسایی انجام می‌دهند و در مرحله آخر نیز پی‌لود باج‌افزار را نصب و اجرا می‌کنند». همچنین براساس تحقیقات صورت گرفته گروه عصای موسی تلاش می‌کند تجهیزات و ابزارهای خودش را به عنوان نرم‌افزارهای مجاز و عادی ویندوز جلوه داده و ابزارهای شناسایی و حضور اولیه‌اش را حذف ‌کند».

منبع: csoonline