Shamoon V3与百度有关联?

Shamoon V3与百度有关联?

Anomali Labs一直在关注破坏力强大的Shamoon恶意软件,最近发现一种新的Shamoon恶意软件样本,它使用燃烧的美元图像作为其攻击的一部分。Shamoon磁盘擦除恶意软件的历史版本使用燃烧的美国国旗以及被淹死的叙利亚儿童难民Alan Kurdi作为伊朗针对性攻击的一部分。图片中有“我们孩子们流的血和泪,我们都会一一报复回来”的字样,这些字与覆盖在受害者系统上的文件同时出现。

最新的Shamoon样本于2018年12月23日从法国上传,并使用商业包装工具Enigma version 4作为混淆手段。正如以前的Shamoon样本一样,可能是为了减轻初始用户的怀疑,内部文件名称调用了一个已知的PC工具。在这里,恶意内部文件名是“Baidu PC Faster”,还有“百度WiFi热点设置”等字样。仔细检查样本使用的文件资源发现该样本与Shamoon V2恶意软件的相似之处。具体来说,包括资源“GRANT”在内的所有文件资源都显示该样本由基于代码库的第二版本编译而来。

Shamoon V3与百度有关联?

Shamoon V3与百度有关联?

值得注意的是,该样本使用于2015年3月25日发布并于2016年3月26日到期的过期百度证书进行签名。与其他已识别的样本一样,该恶意软件样本的编译时间戳可以追溯到2011年。

目前,Anomali Labs尚未证实该样本已用于进行野外攻击。然而,Shamoon 2在2016年11月和2017年1月下旬发起过攻击,所以该样本在西方假期期间发起针对性攻击的可能性依然存在,伴随恶意软件出现的极具政治倾向的图片表明这种可能性很高。Anomali Labs目前无法确认该样本是由之前发起Shamoon攻击的黑客创建的,正在对该恶意软件进行分析。

相关妥协指标(IOCs

文件名

gfxprc_X64_pro.exe

gfxprc_X64.exe

文件哈希

Shamoon(打包)

d0c3852e376423247ae45c24592880b6

7335b8bdc62f35e2579ba18b91dc6227c586ef75

f2bfe03ebacaa96e2897c8c01339e1ffa8c2222c3d6f89a76827548559b93af9

Shamoon(未打包)

5711ac3dd15b019f558ec29e68d13ca9

b18b92a25078aa5f23a9987fd9038440b58b9566

c617120895646f73bc880c0aca18990deda3db9be03f6b3564013e26dedfa3f9

证书哈希

4B953F30F1DE4DFEF894B136DAA155CEAFC243A0

证书序列号

5faee9e83f32948f3b2040ac6df0145c

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133762.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code