Поиск

В начале марта нынешнего года специалисты зафиксировали новую волну атак с использованием модифицированной версии червя Shamoon (также известного как Disttrack), направленную на организации, работающие в критически важных и экономических секторах Саудовской Аравии. Сейчас эксперты компании Palo Alto Networks опубликовали более подробную информацию о деятельности данного вредоносного ПО. Вредоносное ПО Shamoon относится к семейству вредоносных программ, которые эффективно удаляют данные с зараженных компьютеров. На протяжении почти десяти лет червь Shamoon использовался в атаках против организаций в Саудовской Аравии. В состав червя входит вредоносный компонент Disttrack, ответственный за разрушительное поведение и распространение вредоноса по сети. Червь Shamoon 2 использует комбинацию легитимных инструментов, таких как утилита с открытым исходным кодом PAExec, и пакетные файлы для уклонения от обнаружения и распространения внутри сети. По словам специалистов, злоумышленники применяют элементарный, но эффективный метод дистрибуции вредоноса Disttrack. Исследователи пока не смогли определить, как именно происходит начальное инфицирование. По их словам, организаторы последних вредоносных кампаний используют не только учетные данные целевых организаций для доступа к их системам, но и локальные хосты и IP-адреса серверов внутри целевой сети. В январе нынешнего года эксперты обнаружили .ZIP-архив, содержащий исполняемые, пакетные и текстовые файлы (exec-template.txt, ok.bat, pa.exe и т.д.), используемые для заражения компьютеров в сети. Злоумышленники используют похищенные учетные данные организации для доступа к скомпрометированной системе и, подключившись через протокол удаленного рабочего стола (Remote Desktop Protocol, RDP), загружают на сервер вредоносный архив. Далее атакующие начинают распространять Disttrack на другие системы в локальной сети при помощи списка, включающего 256 ранее добытых имен хостов и IP-адресов. Эксперты также заметили некоторые сходные черты между кампаниями Shamoon 2 и Magic Hound (кампания по шпионажу, направленная на организации в Саудовской Аравии). В частности, в обеих операциях использовался один и тот же расположенный в Лондоне управляющий сервер и блок IP-адресов.

Специалисты «Лаборатории Касперского» зафиксировали новую волну атак с использованием модифицированной версии червя Shamoon (также известного как Disttrack), направленную на организации, работающие в критически важных и экономических секторах Саудовской Аравии. Вредоносное ПО Shamoon относится к семейству вредоносных программ, которые эффективно удаляют данные с зараженных компьютеров. По аналогии с предыдущей версией главной задачей Shamoon 2.0 был массовый вывод из строя компьютерных систем целевых организаций. Атаки, зафиксированные в ноябре 2016 года - январе 2017 года, имеют ряд сходных аспектов с атаками 2012 года, ответственность за которые взяла на себе кибергруппировка Cutting Sword of Justice. При этом они используют новые методы и инструменты. В частности, помимо обычного функционала, Shamoon 2.0 включает полноценный модуль программы-вымогателя и не имеет модуля коммуникации с управляющим сервером. На первом этапе атаки злоумышленники получают учетные данные администратора сети жертвы. Затем эта информация используется для распространения вредоносного ПО во внутренней сети организации. В установленное преступниками время вредонос активизируется и выводит из строя инфицированные компьютеры. Финальные стадии атаки полностью автоматизированы и не требуют связи с C&C-сервером. В ходе анализа вышеуказанных атак исследователи выявили еще одну вредоносную программу, получившую название StoneDrill. Вредонос сходен с Shamoon, но в отличие от последнего не использует для развертывания драйверы, а внедряет модуль программы-wiper в память браузера, наиболее часто используемого жертвой. Также специалисты отмечают возможную связь StoneDrill с вредоносным ПО NewsBeef, котрый продолжает атаковать организации в саудовской Аравии. Как полагают эксперты, NewsBeef и StoneDrill предназначены для использования в долгосрочной перспективе, тогда как Shamoon является эффективным инструментом для кратковременного применения.