Les prochaines vacances d'hiver lumineux vient non seulement de nouvelles menaces de cyber, mais aussi de vieux morceaux de logiciels malveillants. C'est exactement le cas avec Shamoon malware qui a apparemment retourné à la scène des logiciels malveillants après des vacances de quatre ans. Rapports des entreprises de sécurité Symantec et Palo Alto révèlent des détails au sujet de sa résurrection.
Shamoon Cibles sociétés saoudiennes Once Again
Shamoon, A.K.A. Disstrack a d'abord été détecté il y a environ quatre ans dans des attaques contre l'Arabie Oil Company Aramco. Son intention était d'effacer des milliers d'ordinateurs.
Cette fois-ci, le malware vise une autre organisation Arabie, qui n'a pas encore été révélé. Et son ordre du jour est non seulement essuyait les machines des entreprises, mais aussi d'écraser leurs maîtres Boot Records avec l'image du cadavre de Aylan Kurdi. L'attaque a eu lieu le Novembre 17 qui est une fête musulmane. Les attaquants les plus susceptibles choisi cette date pour contourner les mesures de sécurité.
en relation: Comment il est facile de pirater une organisation
Apparemment, Shamoon avait une liste de connexions hardcodés, ce qui a permis le malware pour effectuer ses activités malveillantes plus rapide. Cela signifie également que la compagnie visée avait déjà été violée. Selon Palo Alto, les agresseurs pourraient être les mêmes que ceux des campagnes initiales de Shamoon il y a quatre ans.
"La campagne d'attaque actuelle a plusieurs TTP chevauche la campagne Shamoon originale, en particulier à partir d'un ciblage et la perspective de timing ".
"Malware Disttrack utilisé dans les attaques récentes est très similaire à la variante utilisée dans la 2012 attaques, qui utilise le pilote de périphérique même rawdisk exacte ainsi ".
Shamoon / Disttrack Malware Présentation technique
Palo Alto explique que le malware est composé de trois parties distinctes:
- compte-gouttes;
- Communications;
- composants d'essuie-glace.
en relation: Les utilisateurs privilégiés sont les plus risquées dans une organisation, Says enquête sur la sécurité
L'exécutable principal est un compte-gouttes déployés pour extraire des outils supplémentaires à partir de ressources intégrées. Il est également utilisé pour coordonner le moment de sauvegarder et de les exécuter.
Incorporé dans chaque échantillon Disttrack est un composant chargé de communiquer avec un serveur de C2 et d'un composant séparé utilisé pour réaliser la fonction d'essuyage.
L'objectif principal du malware est la destruction de données, tentant ainsi d'endommager autant de systèmes que possible. Voilà pourquoi il essaie de se propager à d'autres systèmes sur le réseau via des informations d'identification d'administrateur volés. Comme l'a souligné par les chercheurs, ceci est une tactique tout à fait semblable à celle déployée dans le 2012 attaques.
Disttrack / Shamoon est également capable de télécharger et d'exécuter des applications supplémentaires pour les systèmes ciblés, et la mise à distance de la date de démarrage des systèmes d'essuyage.
Pourquoi les pirates à l'aide d'essuie-glace Malware?
Le but de ce type de malware est, évidemment, pas un gain financier. Ces types d'attaques sont principalement déployées pour provoquer le chaos dans une organisation, et pourrait être lié à des groupes hacktivistes ou attaquants politiquement engagés. Ils pourraient également être utilisés pour détruire des preuves ou de couverture pistes de exfiltration de données.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: