Анализ Shamoon2, проведенный в Arbor Networks, выявил новые детали этой версии деструктивного зловреда и техник, использованных в недавней серии атак.

Shamoon2 появился на радарах исследователей в ноябре, примерно через четыре года после того, как первоначальная версия Shamoon была использована в атаках против Saudi Aramco, государственной нефтегазовой компании Саудовской Аравии. Как и его предшественник, обновленный Shamoon выводит из строя жесткие диски компьютеров, стирая главную загрузочную запись и данные. Основными мишенями Shamoon2 тоже являются газо- и нефтехимические предприятия, однако он был также замечен в атаке на центральный банк Саудовской Аравии.

До недавнего времени исследователи точно не знали, каким образом Shamoon2 проникает на машины и какова его внутренняя инфраструктура. Новое исследование Arbor позволило получить ответы на эти вопросы. «Мы надеемся, что дополнительные индикаторы позволят исследователям оконечных устройств и защитникам сетей обнаружить и нейтрализовать больше компрометаций, связанных с Shamoon2», — пишет в блоге Arbor аналитик киберугроз Нил Деннис (Neal Dennis).

В середине февраля исследователи из IBM X-Force поведали миру, как именно происходит заражение Shamoon2. Как оказалось, в качестве начального вектора злоумышленники используют документы с вредоносным макросом. Эти документы рассылаются по электронной почте, и, когда получатель, следуя подсказке, активирует макрос, он тем самым запускает вредоносный код, который связывается с C&C-сервером посредством PowerShell-команд. Получив доступ, атакующие используют его для развертывания дополнительных инструментов и дальнейшего проникновения в сеть; также они загружают и устанавливают Shamoon2.

Экспертам Arbor удалось развить результаты X-Force: они пошли дальше и первыми изучили внутреннюю инфраструктуру Shamoon2. По словам Денниса, анализ трех образцов зловреда, предоставленных IBM, позволил выявить вредоносные домены, IP-адреса и другие доселе неизвестные артефакты Shamoon2.

Анализ показал, что данный зловред связан с деятельностью спонсируемых государством ближневосточных групп, таких как Magic Hound и PuppyRAT. Это открытие не было большим сюрпризом: в 2012 году Shamoon также связывали с высокопоставленными хакерами Ближнего Востока. «Нам удалось прояснить, кто стоит за Shamoon2 и каким образом работает его внутренняя инфраструктура», — заявил Деннис.

С его слов, аналитики Arbor сумели ассоциировать имя автора вредоносного документа, некоего gerry.knight, и другие IP-адреса, используемые PowerShell-компонентом Shamoon2, с хакерскими группировками Magic Hound и PuppyRAT. «В данном случае автором сэмпла из отчета IBM значился gerry.knight», — свидетельствует Деннис. Это имя позволило исследователям идентифицировать еще три образца документов с вредоносным макросом, не связанных с Shamoon2-атаками. Эти сэмплы были схожи с документами, использованными в ходе кампаний Magic Hound.

Еще одной подсказкой явился файл sloo.exe, выгруженный Shamoon2 в папку временных файлов атакуемого ПК. «Этот файл был создан в C:\Documents and Settings\Admin\Local Settings\Temp\sloo.exe, — пишет Деннис. — Кроме того, тестируемый сэмпл установил связь с 104.238.184[.]252 для исполняемого PowerShell». По словам исследователя, его коллеги из Palo Alto Networks связывают файл sloo.exe с активностью Magic Hound.

Дальнейший анализ IP, используемых PowerShell-компонентом зловреда, показал также связь с январской кампанией по сбору учетных данных, использовавшей домен go-microstf[.]com для размещения поддельной страницы регистрации Google Analytics. «Мы свели воедино результаты многих исследований и впервые получили полную картину, — резюмирует Деннис. — Надеемся, что это дополнительное исследование позволит лучше понять специфику текущей угрозы со стороны Shamoon2».

Категории: Аналитика, Вредоносные программы