De komende winter vakantie helder weer niet alleen nieuwe cyberdreigingen, maar ook oude malware stukken. Dat is precies het geval met Shamoon malware die blijkbaar is teruggekeerd naar de malware scène na een vier jaar vakantie. Rapporten van beveiligingsbedrijven Symantec en Palo Alto onthullen details over de wederopstanding.
Shamoon richt zich opnieuw op Saoedische bedrijven
Shamoon, a.k.a. Disstrack werd aanvankelijk ontdekt ongeveer vier jaar geleden in aanvallen tegen Saudi Aramco Oil Company. Zijn bedoeling was om af te vegen duizenden computers.
Deze keer, de malware is gericht op een andere Saoedische organisatie, die nog niet is onthuld. En zijn agenda is niet alleen het wissen van de machines van bedrijven, maar ook het overschrijven van hun Master Boot Records met de afbeelding van het lijk van Aylan Kurdi. De aanval vond plaats op november 17 wat een moslim feestdag is. De aanvallers meest waarschijnlijke gekozen die datum om veiligheidsmaatregelen te omzeilen.
Verwant: Hoe gemakkelijk het is om een organisatie te Hack
Blijkbaar, Shamoon had een lijst met hardcoded logins, waardoor de malware zijn kwaadaardige activiteiten sneller kon uitvoeren. Dit betekent ook dat het beoogde bedrijf al was geschonden. Volgens Palo Alto, de aanvallers kunnen dezelfde zijn als de eerste campagnes van Shamoon vier jaar geleden.
“De huidige aanvalscampagne heeft verschillende TTP-overlappingen met de originele Shamoon-campagne, vooral vanuit een targeting- en timingperspectief.”
“Disttrack-malware die bij de recente aanvallen is gebruikt, lijkt erg op de variant die is gebruikt in de 2012 aanvallen, die ook exact hetzelfde RawDisk-apparaatstuurprogramma gebruikt.”
Shamoon/ Disttrack Malware Technisch overzicht
Palo Alto legt uit dat de malware uit drie verschillende delen bestaat:
- dropper;
- communicatie;
- Wissercomponenten.
Verwant: Privileged Users Zijn de meest risicovolle in een organisatie, Beveiliging Survey Zegt
Het belangrijkste uitvoerbare bestand is een dropper die wordt ingezet om extra tools uit ingesloten bronnen te extraheren. Het wordt ook gebruikt om te coördineren wanneer ze moeten worden opgeslagen en uitgevoerd.
In elk Disttrack-exemplaar is een component ingebed die verantwoordelijk is voor de communicatie met een C2-server en een afzonderlijke component die wordt gebruikt om de wisfunctionaliteit uit te voeren.
Het belangrijkste doel van de malware is gegevensvernietiging, dus proberen zoveel mogelijk systemen te beschadigen. Daarom probeert het zich te verspreiden naar andere systemen op het netwerk via gestolen beheerdersreferenties. Zoals opgemerkt door de onderzoekers, dit is een tactiek die vrij veel lijkt op de tactiek die werd ingezet in de 2012 aanvallen.
Disttrack/Shamoon is ook in staat om extra apps te downloaden en uit te voeren naar gerichte systemen, en op afstand de datum instellen om te beginnen met het wissen van systemen.
Waarom gebruiken aanvallers wiper-malware??
Het doel van dit type malware is:, duidelijk, geen financieel gewin. Dit soort aanvallen worden vooral ingezet om chaos te veroorzaken in een organisatie, en kan worden gekoppeld aan hacktivistische groepen of politiek geëngageerde aanvallers. Ze kunnen ook worden gebruikt om bewijsmateriaal te vernietigen of sporen van gegevensexfiltratie te verbergen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: