ShamoonV3现身,伊朗APT33发起新一波攻击

Shamoon是有史以来最具破坏性的恶意软件家族之一,每一次出现无不造成巨大的破坏和影响。前不久,沉寂两年的Shamoon磁盘擦除恶意软件携两个新样本在网络空间中出现。近日,McAfee研究人员将新一波Shamoon磁盘擦除攻击归咎于伊朗黑客组织APT33。

ShamoonV3现身,伊朗APT33发起新一波攻击

APT33组织全球攻击范围

APT33——疑似来自伊朗

12月初,安全公司Chronicle的专家发现Shamoon恶意软件的新变种V3,该样本在意大利石油服务公司Saipem宣布遭受网络攻击的时候上传到意大利的Virus Total。Saipem公司的300多台服务器被Shamoon感染。尽管未有确凿证据证实此次攻击是伊朗APT组织的活动,但恶意软件的代码库、目标区域和目标地理位置都在曾经出现的攻击中被观察到,这些攻击被证实都源于伊朗的恶意分子。

APT33是一个可疑的伊朗威胁组织,自2013年以来一直在运营。该组织针对的是美国、沙特阿拉伯和韩国的多个行业,其中尤其关注航空和能源领域。

ShamoonV3现身,伊朗APT33发起新一波攻击

在其.Net工具包中,研究人员发现了以下ASCII字样:

ShamoonV3现身,伊朗APT33发起新一波攻击

这些字样类似于阿拉伯文字,这是古兰经中的一句话,意为“毁灭火焰之父的手”或“阿布拉哈布的力量将会消失,他也将会灭亡。”

Shamoon磁盘擦除攻击

这波攻击的目标是中东地区的几个能源、电信部门和政府机构,通过供应链攻击中借助欧洲供应商来追踪中东公司。其中包括Shamoon恶意软件系列的第3版(V3),在2012年针对沙特阿拉伯国家石油公司(Saudi Aramco)的臭名昭著的破坏性攻击中首次使用,感染了3万多台设备。

与此前不同的是,2016、2017年攻击沙特目标时,使用的是ShamoonV2和Stonedrill wiper。经过分析,ShamoonV3与其历史版本非常接近。不过除了触发日期之外,样本中包含的凭据列表的性质与之前的版本有了显著的不同,其采用了新的模块化方法:

.Net工具包具有读取目标计算机列表的功能;

提取OS信息并在每台计算机中分发文件擦除器;

通过PsExec远程执行擦除器。

ShamoonV3现身,伊朗APT33发起新一波攻击

“攻击者基本上打包了Shamoon的旧版本(V2),其中包含一个用.Net编码的简单工具包。这表明,多名开发人员已经为新一波攻击准备好了恶意软件,”McAfee安全研究员Thomas Roccia解释道。

研究人员观察到Shamoon是一种可供其他组织使用的模块化磁盘擦除软件。随着最近的这些攻击,这种假设似乎得到了证实。

受害者通过网络钓鱼网站感染了虚假招聘广告,这些网站允许攻击者获取他们的凭据并部署工具包。随后将磁盘擦除软件Shamoon v3和文件擦除器传播到受害者设备:前者覆盖文件和磁盘扇区,后者擦除文件和文件夹。

妥协指标(IOCs)

哈希值

OCLC.exe:

d9e52663715902e9ec51a7dd2fea5241c9714976e9541c02df66d1a42a3a7d2a

Spreader.exe:

35ceb84403efa728950d2cc8acb571c61d3a90decaf8b1f2979eaf13811c146b

SpreaderPsexec.exe:

2ABC567B505D0678954603DCB13C438B8F44092CFE3F15713148CA459D41C63F

Slhost.exe:

5203628a89e0a7d9f27757b347118250f5aa6d0685d156e375b6945c8c05eb8a

文件路径和文件名

C:\net2\

C:\all\

C:\net4\

C:\windows\system32\

C:\\Windows\System32\Program Files\Internet Explorer\Signing

\\admin$\process.bat

NothingFound.txt

MaintenaceSrv32.exe

MaintenaceSrv64.exe

SlHost.exe

OCLC.exe

Spreader.exe

SpreaderPsexec.exe

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133672.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code