IBM X-Force 事件響應與情報服務(IRIS)團隊:臭名昭著的磁盤清除惡意軟件Shamoon,利用啟用宏的文檔和PowerShell腳本感染目標系統。
最近,針對沙特阿拉伯和其他波斯灣國家的攻擊中,發現了 Shamoon 2 的身影。該惡意軟件還有另一個名稱——Disttrack,其變種很多,包括一款能夠攻擊虛擬桌面基礎架構(VDI)產品的。
賽門鐵克近期進行的一份分析顯示:Shamoon背后的攻擊者,也就是很多人認為的伊朗黑客,可能有昵稱為Greenbug的黑帽子相助。賽門鐵克在同一系統中發現這兩個惡意軟件的存在后,將Greenbug和Shamoon聯系了在一起。
X-Force IRIS 研究人員分析了最近一波的Shamoon攻擊,確認最初的泄露可能在該惡意軟件部署并激活前數周就已發生。
需要指出的是,很多案例中,Shamoon都被編程為在特定的日期和時間發動,尤其是在目標公司的員工不太可能注意到其活動的時候。
專家認為,攻擊者采用武器化Office文檔作為入口點。這些文檔包含有惡意宏,一旦執行,就會啟動命令與控制(C&C)通信,并通過PowerShell建立遠程Shell。
這些惡意文件通常包含有簡歷和其他人力資源文檔,通過漁叉式網絡釣魚郵件發送給目標用戶。IBM發現的其中一些文檔提到了一家位于埃及的軟件人才服務公司——IT Worx,以及沙特阿拉伯的商務與投資部(MCI)。
文檔一被打開,就會執行宏代碼,然后啟動PowerShell建立信道,使攻擊者能夠在被感染設備上遠程執行指令。
攻擊者還能借此部署其他工具和惡意軟件,獲得對受害者網絡的進一步訪問權。一旦關鍵服務器被發現,攻擊者就可以部署Shamoon,清除硬盤數據,導致系統無法運作。
文檔中發現的宏會執行兩個PowerShell腳本,其中一個來自托管了跨平臺遠程訪問工具(RAT)Pupy的某個域名。該RAT和域名,在對名為“魔法獵犬( Magic Hound )”的伊朗相關黑客活動的分析中也有出現。
IBM研究人員相信,最近的分析和沙特阿拉伯發布的警告,有可能會讓Shamoon攻擊者再次消失,就像他們在2012年沙特阿美行動后銷聲匿跡一樣,并且為下一波攻擊修改戰術。
京公網安備 11010502049343號