Nul
Een stroom van recente aanslagen waarbij het Shamoon-gegevens-wiper-malware familie is toegeschreven aan de Iraanse hacken van de groep APT33.
Op woensdag, de McAfee Advanced Threat Research team zei APT33 — of een groep vermomd als APT33 — is waarschijnlijk verantwoordelijk voor een recente campagne die gericht industriële spelers in het Midden-Oosten en Europa.
Het was eerder deze maand dat ZDNet geleerd van de Shamoon malware ‘ s aanwezigheid op de italiaanse olie-en gas aannemer Saipem netwerken. Het bedrijf is actief in het Midden-Oosten, India, Italië en Schotland.
McAfee zei in een blog post die de afgelopen Shamoon-gebaseerde campagnes zijn ontdekt niet alleen gericht op bedrijven die rechtstreeks maar is ook gebruikt in de supply chain aanvallen.
Shamoon is een extreem destructieve malware is ontworpen om af te vegen de geïnfecteerde systemen door het overschrijven van de informatie met afval gegevens.
Twee versies van de malware zijn opgenomen in de afgelopen jaren. De vroegste incident met Shamoon vond plaats in 2012 tegen de Saudi Aramco oil company-wat leidt tot het wissen van ten minste de 30.000 Pc ‘ s, terwijl over 2016 en 2017, zowel een verbeterde Shamoon v. 2 ruitenwisser en de Stonedrill ruitenwisser werden gebruikt.
In al deze gevallen worden geïnfecteerde systemen werden ook besmeurd met propaganda, inclusief beelden van de brandende Amerikaanse vlag en een verdronken Syrische kind.
De afgelopen paar weken, een nieuwe variant van Shamoon heeft gevonden aanvallende olie -, gas -, energie -, telecom -, overheid en organisaties door middel van vacature-gerelateerde phishing campagnes en kwaadaardige websites die truc slachtoffers in het indienen van hun accountgegevens.
Zie ook: Verwijder jezelf van het internet en wissen van uw online aanwezigheid
De nieuwste versie van Shamoon is vernieuwd in een modulair, met een aantal verschillende functies. De nieuwe ruitenwisser monsters komen onder de naam Filerase.
Opgenomen in de malware is een lijst van gerichte computers, een spreader voor het bestand gum, code kunnen exfiltrate informatie met betrekking tot een doel-PC ‘ s operating systeem, een afstandsbediening van de wisser van de uitvoering van de module, en de nieuwe ruitenwisser zelf, die hiermee verwijdert u elk bestand gevonden bij de uitvoering.
De ruitenwisser bevat drie opties; in de stille modus uitgevoerd, een altijd ingeschakeld privilege escalation script, en een tracker om de record aantal mappen en bestanden gewist.
Terwijl de nieuwste versie van Shamoon is sterk gecodeerd, het verpakt .Net toolkit die zich verspreidt Shamoon v. 3 en Filerase is niet gegund deze bescherming. Na de reverse engineering van het pakket, die niet obfuscated, vonden de onderzoekers de volgende ASCII-kunst, die lijkt op de arabische tekst van de Koran vertaald als “vernietigd zijn de handen van de Vader van vlam” of “de macht van Aboe Lahab zal te gronde gaan, en hij zal ten onder gaan.”
McAfee
McAfee verwacht dat meerdere ontwikkelaars waren betrokken bij de laatste Shamoon-campagne, die werd “bereid maanden van tevoren [..] met de wisser van de uitvoering als het doel.”
CNET: russische beïnvloeders bloeide op Instagram nadat de druk op Facebook, Twitter
“Het toeschrijven van deze aanval is moeilijk omdat we niet alle stukjes van de puzzel,” McAfee zegt. “Wij zien dat deze aanval is in lijn met de Shamoon v. 2 technieken. Politieke statements zijn een onderdeel van elke Shamoon-aanval. […] Nu zien we een vers uit de Koran, die zouden kunnen duiden dat de tegenstander is in verband met een ander Midden-Oosten conflict en wil een statement maken.”
Het is zeker mogelijk dat Iraanse hackers kunnen worden aan de wortel van de zaak, zeker gezien de recente politieke spanningen tussen het land en de Verenigde Staten. President Trump kondigde de terugtrekking van de VS uit de 2015 nucleaire deal, die door de Obama-Administratie, terug in Mei.
TechRepublic: 5 grootste kwetsbaarheden in de beveiliging van 2018
Terwijl vele cyberaanvallen toegeschreven aan Iran hebben zich in de afgelopen jaren op het Midden-Oosten, simmering politieke spanningen verhoogd speculaties dat hun blik kunnen zetten in de richting van de VS in toekomstige campagnes.
FireEye was een van de eerste track APT33, die eerder zijn toegeschreven aan de aanslagen in zowel militaire als commerciële ruimtevaart in de VS, Saoedi-Arabië en Zuid-Korea. Gekoppeld malware buiten Shamoon bevat Shapeshift, Dropshot, Nanocore, en Alfa Shell.
Vorige en aanverwante dekking
Deze zakelijke e-mails verspreidt Trojaanse paarden via Google Cloud storageHackers hebben verdiend $1.7 miljoen zo ver van de handel data gestolen van ONS gov betaling portalsFacebook verdedigt geven tech reuzen toegang tot de uitgebreide gegevens van de gebruiker
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0