Обнародованы подробности об атаках червя Shamoon 2

Обнародованы подробности об атаках червя Shamoon 2

Shamoon 2 использует легитимные инструменты и пакетные файлы для уклонения от обнаружения и распространения внутри сети.

В начале марта нынешнего года специалисты зафиксировали новую волну атак с использованием модифицированной версии червя Shamoon (также известного как Disttrack), направленную на организации, работающие в критически важных и экономических секторах Саудовской Аравии. Сейчас эксперты компании Palo Alto Networks опубликовали более подробную информацию о деятельности данного вредоносного ПО.

Вредоносное ПО Shamoon относится к семейству вредоносных программ, которые эффективно удаляют данные с зараженных компьютеров. На протяжении почти десяти лет червь Shamoon использовался в атаках против организаций в Саудовской Аравии. В состав червя входит вредоносный компонент Disttrack, ответственный за разрушительное поведение и распространение вредоноса по сети. Червь Shamoon 2 использует комбинацию легитимных инструментов, таких как утилита с открытым исходным кодом PAExec, и пакетные файлы для уклонения от обнаружения и распространения внутри сети.

По словам специалистов, злоумышленники применяют элементарный, но эффективный метод дистрибуции вредоноса Disttrack. Исследователи пока не смогли определить, как именно происходит начальное инфицирование. По их словам, организаторы последних вредоносных кампаний используют не только учетные данные целевых организаций для доступа к их системам, но и локальные хосты и IP-адреса серверов внутри целевой сети.

В январе нынешнего года эксперты обнаружили .ZIP-архив, содержащий исполняемые, пакетные и текстовые файлы (exec-template.txt, ok.bat, pa.exe и т.д.), используемые для заражения компьютеров в сети. Злоумышленники используют похищенные учетные данные организации для доступа к скомпрометированной системе и, подключившись через протокол удаленного рабочего стола (Remote Desktop Protocol, RDP), загружают на сервер вредоносный архив. Далее атакующие начинают распространять Disttrack на другие системы в локальной сети при помощи списка, включающего 256 ранее добытых имен хостов и IP-адресов.

Эксперты также заметили некоторые сходные черты между кампаниями Shamoon 2 и Magic Hound (кампания по шпионажу, направленная на организации в Саудовской Аравии). В частности, в обеих операциях использовался один и тот же расположенный в Лондоне управляющий сервер и блок IP-адресов.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться