به گزارش تکفکت، و به نقل از سایت هکرنیوز عصای موسی اولین بار در اواخر سال ۲۰۲۱ به طور عمومی مشاهده شد، باتوجه به حملاتی که علیه نهادهایی در اسرائیل، ایتالیا، هند، آلمان، شیلی، ترکیه، امارات متحده عربی و ایالات متحده رصد شده اعتقاد بر این است که افراد این گروه هکریتوسط ایران یا هم پیمانان حمایت می شوند، با گزارش شده است.
در اوایل این ماه،از این گروه هکری یک تروجان دسترسی از راه دور (RAT) که قبلاً مشاهده نشده بود به نام «StrifeWater» که به عنوان برنامه ماشین حساب ویندوز برای فرار از شناسایی ظاهر میشود، مشاهده شد.
یافتههای آزمایشگاه فورتیگارد نشان میدهد:
«بررسی دقیق نشان میدهد که این گروه بیش از یک سال، بسیار زودتر از اولین معرفی رسمی گروه خود در معرض عموم ، فعال بوده است و توانسته است با سرعت تشخیص بسیار پایین زیر رادارهای امنیتی بماند».
آخرین فعالیت تهدیدی شامل یک مسیر حمله است که از آسیبپذیری ProxyShell در سرورهای Microsoft Exchange به عنوان یک بردار آلودگی اولیه برای استقرار دو پوسته وب استفاده میکند و به دنبال آن فایلهای داده Outlook (PST.) از سرور آسیبدیده استخراج میشود.
مراحل بعدی زنجیره آلودگی شامل تلاش برای سرقت اطلاعات اعتباری با ریختن محتوای حافظه یک فرآیند حیاتی ویندوز به نام Local Security Authority Subsystem Service (Lsass.exe)، قبل از انداختن و بارگذاری درب پشتی “StrifeWater” (broker.exe) است.
نصب ایمپلنت “Broker” که برای اجرای دستورات واکشی از یک سرور راه دور، دانلود فایلها و استخراج دادهها از شبکههای هدف استفاده میشود، توسط یک لودر تسهیل میشود که به عنوان یک “Hard Disk Drives Fast Stop Service” نامیده میشود. DriveGuard» (drvguard.exe).
علاوه بر این، لودر همچنین مسئول راهاندازی یک مکانیسم نگهبان (“lic.dll”) است که تضمین میکند با راهاندازی مجدد DriveGuard هر بار که متوقف میشود، سرویس خود هرگز قطع نمیشود و همچنین اطمینان میدهد که لودر برای اجرای خودکار در برای راه اندازی سیستم پیکربندی شده است.