Ultimate magazine theme for WordPress.

گروه هکری عصای موسی چه کسانی هستند و چه هدفی دارند؟

0

به گزارش تک‌فکت، و به نقل از سایت هکرنیوز عصای موسی اولین بار در اواخر سال ۲۰۲۱ به طور عمومی مشاهده شد، باتوجه به حملاتی که علیه نهادهایی در اسرائیل، ایتالیا، هند، آلمان، شیلی، ترکیه، امارات متحده عربی و ایالات متحده رصد شده اعتقاد بر این است که افراد این گروه هکریتوسط ایران یا هم پیمانان حمایت می شوند، با گزارش شده است.

در اوایل این ماه،از این گروه هکری یک تروجان دسترسی از راه دور (RAT) که قبلاً مشاهده نشده بود به نام «StrifeWater» که به عنوان برنامه ماشین حساب ویندوز برای فرار از شناسایی ظاهر می‌شود، مشاهده شد.

 

یافته‌های آزمایشگاه فورتی‌گارد نشان می‌دهد:

«بررسی دقیق نشان می‌دهد که این گروه بیش از یک سال، بسیار زودتر از اولین معرفی رسمی گروه خود در معرض عموم ، فعال بوده است و توانسته است با سرعت تشخیص بسیار پایین زیر رادارهای امنیتی بماند».

آخرین فعالیت تهدیدی شامل یک مسیر حمله است که از آسیب‌پذیری ProxyShell در سرورهای Microsoft Exchange به عنوان یک بردار آلودگی اولیه برای استقرار دو پوسته وب استفاده می‌کند و به دنبال آن فایل‌های داده Outlook (PST.) از سرور آسیب‌دیده استخراج می‌شود.

مراحل بعدی زنجیره آلودگی شامل تلاش برای سرقت اطلاعات اعتباری با ریختن محتوای حافظه یک فرآیند حیاتی ویندوز به نام Local Security Authority Subsystem Service (Lsass.exe)، قبل از انداختن و بارگذاری درب پشتی “StrifeWater” (broker.exe) است.

نصب ایمپلنت “Broker” که برای اجرای دستورات واکشی از یک سرور راه دور، دانلود فایل‌ها و استخراج داده‌ها از شبکه‌های هدف استفاده می‌شود، توسط یک لودر تسهیل می‌شود که به عنوان یک “Hard Disk Drives Fast Stop Service” نامیده می‌شود. DriveGuard» (drvguard.exe).

علاوه بر این، لودر همچنین مسئول راه‌اندازی یک مکانیسم نگهبان (“lic.dll”) است که تضمین می‌کند با راه‌اندازی مجدد DriveGuard هر بار که متوقف می‌شود، سرویس خود هرگز قطع نمی‌شود و همچنین اطمینان می‌دهد که لودر برای اجرای خودکار در برای راه اندازی سیستم پیکربندی شده است.

 

یک نظر بزارید

ایمیل شما منتشر نمی شود: