استفاده گروه ایرانی هکر "نیروهای موسی" از StrifeWater RAT جدید در حملات باج‌افزاری

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir hacker group moses staff using new strifwater rat in ransomware attack 1
یک گروه هکر با انگیزه سیاسی که به یک سری حملات جاسوسی و خرابکارانه به نهاد‌های اسرائیلی در سال ۲۰۲۱ مرتبط بوده، یک تروجان دسترسی از راه دور (RAT) که قبلاً شناسایی نشده بود را به عنوان بخشی از تلاش عمدی برای مصون ماندن از امکان شناسایی، به عنوان برنامه ماشین حساب ویندوز عرضه کرده است.

بنا به ادعاهای مطرح شده، شرکت امنیت سایبری Cybereason که عملیات‌های عاملان ایرانی معروف به نیرو‌های موسی را ردیابی می‌کرده، این بدافزار را «StrifeWater» نامیده است.

تام فاکترمن، تحلیلگر امنیت Cybereason در گزارشی گفت: «به نظر می‌رسد StrifeWater RAT در مرحله اولیه حمله مورد استفاده قرار می‌گیرد و این RAT مخفی توانایی حذف خود را از سیستم برای پوشش مسیر‌های گروه ایرانی دارد. RAT دارای قابلیت‌های دیگری مانند اجرای فرمان، تصویربرداری از صفحه و همچنین توانایی دانلود افزونه‌های اضافی است».

نیرو‌های موسی در اواخر سال گذشته زمانی که Check Point Research سلسله حملاتی را که از سپتامبر ۲۰۲۱ علیه سازمان‌های اسرائیلی با هدف مختل کردن عملیات تجاری هدف از طریق رمزگذاری شبکه‌های آن‌ها، بدون ارائه هیچ گزینه‌ای برای دسترسی مجدد یا مذاکره در مورد دریافت باج، برملا کرد، آشکار شد.

این نفوذ‌ها از این جهت قابل توجه بوده‌اند که برای انجام رمزگذاری حجمی به لایبرری متن باز DiskCryptor متکی بودند و علاوه بر این، سیستم‌ها را با یک بوت لودر آلوده می‌کردند که از راه‌اندازی آن‌ها بدون کلید رمزگذاری صحیح جلوگیری می‌کند.
takian.ir hacker group moses staff using new strifwater rat in ransomware attack 2
تا به امروز، قربانیان فراتر از اسرائیل، از جمله ایتالیا، هند، آلمان، شیلی، ترکیه، امارات متحده عربی و ایالات متحده گزارش شده است.

قطعه جدید پازل حملات کشف شده توسط Cybereason به شکل یک RAT است که تحت نام "calc.exe" (باینری ماشین حساب ویندوز) مستقر شده و در مراحل اولیه زنجیره آلودگی استفاده می‌شود، و قبل از حذف شدن منجر به استقرار بدافزار رمزگذاری فایل‌ها می‌شود.

به گمان محققان، حذف و جایگزینی متعاقب آن ماشین حساب مخرب قابل اجرا با باینری قانونی، به غیر از اینکه آن‌ها را قادر می‌سازد تا از امکان شناسایی مصون بمانند، تلاشی از سوی عامل تهدید برای پوشاندن مسیر‌ها و پاک کردن شواهد تروجان است و جهت مرحله نهایی حمله و زمانی است که payload باج‌افزار اجرا می‌شود.

بدافزار StrifeWater، به نوبه خود، هیچ تفاوتی با همتایان خود ندارد و دارای ویژگی‌های متعددی است که از جمله مهمترین آن‌ها می‌توان به لیست کردن فایل‌های سیستم، اجرای دستورات سیستم، گرفتن عکس از صفحه نمایش، ایجاد پایداری و دانلود بروزرسانی‌ها و ماژول‌های کمکی اشاره کرد.

فاکترمن در پایان ادعا کرد: «به نظر می‌رسد هدف نهایی برای نیرو‌های موسی بیشتر انگیزه سیاسی دارد تا مالی. نیرو‌های موسی از باج‌افزار پس از استخراج نه برای منافع مالی، بلکه برای ایجاد اختلال در عملیات، مخفی کردن فعالیت‌های جاسوسی و آسیب رساندن به سیستم‌ها برای پیشبرد اهداف ژئوپلیتیکی ایران استفاده می‌کنند».

برچسب ها: DiskCryptor, ماشین حساب ویندوز, Hacker Group, نیروهای موسی, calc.exe, StrifeWater, Moses Staff, Cybereason, Iran, Remote Access Trojan, Hacker, RAT, israel, malware, ransomware , تروجان, Cyber Security, باج افزار, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ