منو سایت

فعالیت گروه هکرهای عصا در استفاده از اسب تروا جدید را به ایران نسبت می دهند

 تاریخ انتشار :
/
  اخبار استارتاپ
Log4Shell برای هک سرورهای VMWare استفاده می شود

فعالیت گروه هکرهای عصا در استفاده از اسب تروا جدید را به ایران نسبت می دهند

محققان امنیت سایبری اخیرا یک اسب تروجان ثبت نشده را کشف کردند. آنها حدس می زنند که یک گروه APT ایرانی از سال 2021 از اسب تروا برای هدف قرار دادن سازمان های اسرائیلی و دیگر سازمان ها و آسیب رساندن به زیرساخت های آنها استفاده کرده است.

آنها ادعا می کنند که گروه ایرانی که توسط محققان سایبری Cybereason به عنوان کارمندان موسی شناخته می شود، حداقل از سپتامبر 2021 برای سرقت داده های حساس کار می کند. نصب بدافزار رمزنگاری برای ایجاد اختلال در عملیات تجاری و پنهان کردن آثار فعالیت های آن یکی از اقدامات این سازمان است. عصای عصای موسی. هدف اصلی این گروه اصلاً منافع مالی نیست.

گروه سایبری آسا موسی

برای اولین بار در سال 2021، محققان چک پوینت فعالیت های مخرب گروه کنعانی را پس از انجام حملات گسترده به سازمان های اسرائیلی ثبت کردند. اما در دو سال گذشته چندین گروه از سازمان های مختلف کشور را با حملات مشابه باج افزار هدف قرار داده اند. تا این حد تحقیقات طولانی انجام شد و در نهایت کارکنان عصای موسی که فقط اهداف و انگیزه های سیاسی زیادی دارند و به دنبال منافع مالی نیستند، بیش از سایر گروه های سایبری مورد توجه قرار گرفتند.

در نهایت، این گروه هدف از چنین عملیاتی را افشای اطلاعات سازمان های اسرائیلی، آسیب رساندن به آنها و ایجاد اختلال در کار آنها بدون دریافت باج اعلام کرد. با این حال، آسا موزس پس از حمله به سازمان های اسرائیلی، شرکت هایی در ایتالیا، هند، آلمان، شیلی، ترکیه، امارات و آمریکا را نیز هدف قرار داد.

گروه سایبری آسا موسی

پژوهشگران امنیت سایبریسون می گویند: طبق تحقیقات انجام شده برای تحلیل دقیق رفتار و عملکرد کارکنان گروه رید، این گروه از جاسوسی و خرابکاری سایبری برای پیشبرد اهداف ژئوپلیتیک ایران یا سیاست جغرافیایی ایران با ایجاد خرابکاری و گسترش ترس استفاده می کند. ».

گروه Cane از آسیب پذیری های شناخته شده در سرورهای عمومی مانند Microsoft Exchange برای دسترسی به سیستم های سازمانی سوء استفاده می کند و سپس با استفاده از ابزارهای مدیریتی مانند PsExec، Windows Command Prompt (WMIC) و PowerShell بر آنها غلبه می کند. دیگر گروه‌های باج‌افزار و APT از همین رویکرد برای نفوذ به سیستم‌های مدیریت و دسترسی استفاده می‌کنند.

PyDCrypt و DCSrv از جمله بدافزارهای ثبت شده ای هستند که منحصراً توسط این گروه استفاده می شوند. PyDCrypt یک ابزار دانلود رایگان برای بدافزارهای مبتنی بر پایتون برای اجرای DCSrv است. DCSrv همچنین نسخه ای از بدافزار معروف DiskCryptor است. هر قربانی یک کپی خاص از DiskCryptor دریافت می کند که اطلاعات کاربری مدیر، دامنه محلی و لیست ماشین هایی که باید آلوده شوند را فهرست می کند. بنابراین قبل از رسیدن به مرحله استقرار PyDCrypt، Cane Group بررسی های لازم را در شبکه قربانی انجام می دهد و نقشه واضحی از محیط هدف دریافت می کند.

اسب تروا استرایف واتر

اگرچه اطلاعات کمی در مورد مرحله مطالعه شبکه وجود دارد، اما محققان Cybereason معتقدند که حلقه مفقوده را یافته اند. آنها در تحقیقات گسترده خود یک تروجان دسترسی از راه دور را کشف کردند که مهاجمان عصایی ابتدا آن را نصب و در مراحل بعدی حمله حذف کردند.

این اسب تروا در ابتدا StrifeWater نام داشت و با نام calc.exe نصب شد. بنابراین، برخی از سیستم های آلوده یک ماشین حساب ویندوزی ندارند که نام پردازش آن calc.exe است و گمان می رود در مرحله پاکسازی از این گروه حذف شده است. ایجاد لیستی از فایل های سیستم، اجرای دستورات پوسته، گرفتن اسکرین شات، حضور مستمر از طریق یک کار برنامه ریزی شده و دانلود ابزارهای جانبی مخرب برای گسترش قابلیت های تروجان از ویژگی های آن است.

اسب تروا جدید StrifeWater

تروجان StrifeWater حاوی یک آدرس IP و یک URL برای ارتباط با سرور فرمان و کنترل است، اما مشاهده می شود که تروجان با یک دامنه خاص نیز ارتباط برقرار می کند. هنگامی که StrifeWater برای اولین بار نصب می شود، اطلاعاتی درباره نام سیستم، حساب کاربری، نسخه سیستم عامل، معماری پردازنده، منطقه زمانی و سطح دسترسی کاربر جمع آوری می کند.

به گفته محققان Cybereason، “اگرچه تروجان دسترسی از راه دور StrifeWater تنها در مراحل اولیه حمله استفاده می شود، اما می تواند یکی از ابزارهای اصلی برای ایجاد یک ردپای ثابت در محیط های قربانیان باشد.” محققان امنیتی Cybereason می‌گویند: «پیش از مرحله نهایی حمله، اپراتورهای عصا برای جلوگیری از شناسایی تلاش زیادی کردند و در مرحله نهایی باج‌افزار را نصب و اجرا کردند». علاوه بر این، طبق یک مطالعه، کارکنان موسی سعی دارند تجهیزات و ابزارهای خود را شبیه نرم افزارهای معمولی و معمولی ویندوز کنند و ابزار اصلی شناسایی و حضور را حذف کنند.

 

منبع: csoonline