Исследователи добились новых успехов в складывании пазла под названием Shamoon 2. Анализ недавних атак с применением этого зловреда позволил выявить технику доставки и исполнения его деструктивного компонента — Disttrack.

По свидетельству Palo Alto Networks, для развертывания в сети Disttrack группа хакеров, стоящая за Shamoon 2, использует ряд легитимных инструментов, таких как open-source-утилита PAExec, и пакетные скрипты. Эксперты также обнаружили новые доказательства взаимосвязи Shamoon 2 и кампании Magic Hound.

«Новой находкой является механизм доставки и распространения Disttrack, — комментирует вирусный аналитик Брайан Ли (Bryan Lee). — До сих пор никто точно не знал, как злоумышленники это проделывают. Нам удалось установить, что они применяют простейшую, но эффективную технику для распространения Disttrack и стирания данных в системах».

Анализируя новейшие атаки Shamoon 2, исследователи заметили, что оперирующая этим зловредом группа использует не только идентификаторы пользователя целевой системы, но также имена локальных хостов и IP-адреса ассоциированных серверов и конечных точек в атакуемой сети. «Мы обнаружили свидетельства того, что авторы атак используют комбинацию из легитимных инструментов и пакетных скриптов для развертывания Disttrack-нагрузки на хостах, имена которых в целевой сети им, очевидно, известны», — пишут Ли и другой аналитик, Роберт Фальконе (Robert Falcone), в блоге Palo Alto.

По словам экспертов, в январе они обнаружили zip-архив, содержащий файлы, используемые для заражения других систем в атакуемой сети. «Автор атаки устанавливает этот zip-архив на сервер распределения, осуществляя вход в скомпрометированную систему через RDP с помощью краденых легитимных идентификаторов и загружая ZIP с удаленного сервера», — пишут Ли и Фальконе.

С этой скомпрометированной машины Disttrack раздается на другие узлы в локальной сети с использованием предварительно приобретенного списка из 256 имен хостов и IP-адресов. «Нам доподлинно неизвестно, каким образом автор атаки компрометирует сервер, используемый для распределения Disttrack, и получает к нему RDP-доступ, — говорит Ли. — Однако мы уверены, что zip-архив с рядом файлов загружается в эту систему извне».

Файлы, сохраняемые на сервере распределения, содержат исполняемый код, пакетные скрипты или текстовые данные — к примеру, exec-template.txt, ok.bat, pa.exe. Примечательно, что текстовые файлы последовательно пронумерованы от 1 до 400 и содержат DNS-значения для имен хостов, присутствующих в целевой сети. В Palo Alto полагают, что именами компьютеров и хостов авторы атак запасаются заранее, проводя разведку в целевой сети и исследуя Active Directory на контроллере домена.

Затем, вместо того чтобы запустить пакетный скрипт, как можно было бы предположить, атакующий вручную копирует содержимое exec-template.txt и вставляет его в командную строку для ввода. В результате происходит запуск ok.bat на всех атакуемых узлах.

«Этот скрипт пакетной обработки отвечает за развертывание Disttrack на каждой из этих систем в сети, — рассказывают исследователи. — Вначале скрипт копирует два файла в папку C:\Windows\temp в удаленной системе. Эти файлы, ntertmgr32.exe и ntertmgr32.bat, содержат полезную нагрузку Disttrack и пакетный скрипт для установки Disttrack-нагрузки в локальной системе соответственно».

Для сокрытия запуска инсталлятора ntertmgr32.bat злоумышленники используют легитимное приложение PAExec (pa.exe). «Используемые инструменты, за исключением meterpreter (компонент Metasploit), и пакетные скрипты призваны скрыть весь процесс от глаз IT-администратора», — пояснил Ли.

В отношении связи Shamoon с Magic Hound, подмеченной экспертами Arbor Networks и IBM, собеседник Threatpost заявил, что ранее это были лишь предположения, основанные на косвенных доказательствах. «Мы в свою очередь тоже не располагаем конкретными фактами, но получили новые свидетельства взаимосвязи Shamoon 2 и Magic Hound», — говорит Ли.

Так, Palo Alto обнаружила лондонский C&C-сервер и блок IP-адресов, совместно используемые Magic Hound и Shamoon 2. «Использование этого IP (операторами Shamoon) заслуживает внимания, так как обнаруженная нами ранее (в феврале) кампания Magic Hound контролировалась с C&C-сервера на адресе 45.76.128[.]165, который находится в том же диапазоне IP-адресов класса C», — отметил Ли.

Ранее были обнаружены такие признаки сходства, как цели в Саудовской Аравии и особенности modus operandi: использование PowerShell-команд и утилиты Meterpreter.

Категории: Аналитика, Вредоносные программы, Хакеры