De kommende vinterferie lyse frem ikke kun nye cyber trusler, men også gamle malware stykker. Det er netop tilfældet med Shamoon malware som tilsyneladende er vendt tilbage til malware scene efter en fireårig ferie. Rapporter fra sikkerhedsselskaber Symantec og Palo Alto afslører detaljer om dens opstandelse.
Shamoon retter mål mod saudiske virksomheder igen
Shamoon, a.k.a. Disstrack blev oprindeligt opdaget omkring fire år siden i angreb på Saudi Oil Company Aramco. Hensigten var at udslette tusindvis af computere.
Denne gang omkring, malware er rettet mod en anden saudisk organisation, som endnu ikke er afsløret. Og dets dagsorden er ikke bare at tørre virksomheders maskiner, men også at overskrive deres Master Boot Records med billedet af Aylan Kurdis lig. Angrebet fandt sted på November 17 som er en muslimsk højtid. Angriberne sandsynligvis valgte denne dato at omgå sikkerhedsforanstaltninger.
Relaterede: Hvor nemt det er at hacke en organisation
Tilsyneladende, Shamoon havde en liste over hardkodede logins, som tillod malware at udføre sine ondsindede aktiviteter hurtigere. Dette betyder også, at den målrettede virksomhed allerede var blevet overtrådt. Ifølge Palo Alto, angriberne kunne være de samme fra Shamoons første kampagner for fire år siden.
”Den nuværende angrebskampagne har flere TTP -overlapninger med den oprindelige Shamoon -kampagne, især ud fra et målrettet og tidsmæssigt perspektiv. ”
“Disttrack -malware, der blev brugt i de seneste angreb, ligner meget den variant, der blev brugt i 2012 angreb, som også bruger den nøjagtig samme RawDisk -enhedsdriver. ”
Shamoon/ Disttrack Malware Teknisk oversigt
Palo Alto forklarer, at malware består af tre forskellige dele:
- Dropper;
- Kommunikation;
- Viskerkomponenter.
Relaterede: Privilegerede brugere er de farligste i en organisation, Security Survey Says
Den vigtigste eksekverbare fil er en dropper, der er implementeret til at udtrække yderligere værktøjer fra integrerede ressourcer. Det bruges også til at koordinere, hvornår de skal gemmes og eksekveres.
Indlejret i hver Disttrack -prøve er en komponent, der er ansvarlig for kommunikation med en C2 -server og en separat komponent, der bruges til at udføre aftørringsfunktionen.
Malwarens hovedformål er datadestruktion, og dermed forsøge at beskadige så mange systemer som muligt. Derfor forsøger den at sprede sig til andre systemer på netværket via stjålne administratoroplysninger. Som påpeget af forskerne, dette er en taktik, der ligner den, der blev indsat i 2012 angreb.
Disttrack/ Shamoon er også i stand til at downloade og eksekvere yderligere apps til målrettede systemer, og fjernindstilling af datoen for start af aftørringssystemer.
Hvorfor bruger angribere Wiper Malware?
Formålet med denne type malware er, åbenbart, ikke økonomisk gevinst. Disse typer angreb indsættes hovedsageligt for at forårsage kaos i en organisation, og kunne være knyttet til hacktivistiske grupper eller politisk engagerede angribere. De kan også bruges til at ødelægge beviser eller dække spor af dataeksfiltration.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: