今後の冬休みは、新しいサイバー脅威だけでなく、古いマルウェアの断片も明らかにします. これは、4年間の休暇後にマルウェアシーンに戻ったと思われるShamoonマルウェアの場合とまったく同じです。. セキュリティ会社のSymantecとPaloAltoからのレポートは、その復活についての詳細を明らかにしています.
Shamoonは再びサウジアラビアの企業をターゲットにしています
シャムーン, 別名. Disstrackは、約4年前にサウジアラビア石油会社Aramcoに対する攻撃で最初に検出されました。. その意図は、何千ものコンピューターを一掃することでした.
今回は, マルウェアは別のサウジアラビアの組織を標的にしています, まだ明らかにされていません. そして、その議題は、企業のマシンを一掃するだけでなく、AylanKurdiの死体のイメージでマスターブートレコードを上書きすることでもあります。. 攻撃は11月に行われました 17 これはイスラム教徒の休日です. 攻撃者はおそらく、セキュリティ対策を回避するためにその日付を選択しました.
関連している: 組織をハッキングするのは簡単です
どうやら, Shamoonにはハードコードされたログインのリストがありました, これにより、マルウェアは悪意のあるアクティビティをより迅速に実行できるようになりました. これは、対象企業がすでに侵害されていることも意味します. によると パロアルト, 攻撃者は、4年前のShamoonの最初のキャンペーンと同じものである可能性があります.
「現在の攻撃キャンペーンには、元のShamoonキャンペーンといくつかのTTPの重複があります, 特にターゲティングとタイミングの観点から。」
「最近の攻撃で使用されたDisttrackマルウェアは、 2012 攻撃, まったく同じRawDiskデバイスドライバーも使用します。」
Shamoon/Disttrackマルウェアの技術概要
パロアルトは、マルウェアは3つの異なる部分で構成されていると説明しています:
- スポイト;
- コミュニケーション;
- ワイパーコンポーネント.
関連している: 特権ユーザーは組織内で最もリスクが高い, セキュリティ調査によると
主な実行可能ファイルは、埋め込まれたリソースから追加のツールを抽出するためにデプロイされたドロッパーです。. また、それらを保存して実行するタイミングを調整するためにも使用されます.
各Disttrackサンプルには、C2サーバーとの通信を担当するコンポーネントと、ワイプ機能を実行するために使用される個別のコンポーネントが埋め込まれています。.
マルウェアの主な目的はデータ破壊です, したがって、できるだけ多くのシステムに損害を与えようとします. そのため、盗まれた管理者資格情報を介してネットワーク上の他のシステムに拡散しようとします. 研究者が指摘したように, これは、で展開されているものと非常によく似た戦術です。 2012 攻撃.
Disttrack / Shamoonは、ターゲットシステムに追加のアプリをダウンロードして実行することもできます, システムのワイプを開始する日付をリモートで設定します.
攻撃者がワイパーマルウェアを使用しているのはなぜですか?
このタイプのマルウェアの目的は, 明らかに, 金銭的利益ではない. これらのタイプの攻撃は、主に組織に混乱を引き起こすために展開されます, ハクティビストグループや政治的関与のある攻撃者にリンクされる可能性があります. また、証拠を破壊したり、データ漏洩の痕跡を隠したりするためにも使用できます。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: