- Статус
- Offline
- Регистрация
- 23 Фев 2017
- Сообщения
- 332
- Реакции
- 48
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Экспертам пока не известны случаи использования свежей версии в кибератаках.
Специалисты компании Anomali Labsобнаружилиновую версию червя Shamoon, ранее использовавшегося в кибератаках на нефтегазовые компании в странах Ближнего Востока. Последним известным случаем применения одной из свежих версий вайпера сталаатакана серверы итальянской нефтегазовой компании Saipem в декабре текущего года, от которой пострадало свыше 300 серверов и 100 компьютеров предприятия.
По данным исследователей, новый вариант Shamoon был загружен на сервис VirusTotal 23 декабря 2018 года с французского IP-адреса. Вредонос маскировался под инструмент для настройки и оптимизации системы китайской компании Baidu и был подписан ее цифровым сертификатом, выпущенным в мае 2015 года. В настоящее время цифровая подпись недействительна, поскольку срок действия сертификата истек еще в марте 2016 года. Новая версия была упакована с использованием утилиты для лицензирования и защиты исполняемых файлов Enigma Protector (версия 4).
В попытке выдать вредонос за официальное программное обеспечение вирусописатели в имени файла указали «Baidu PC Faster», а в описании – «Baidu WiFi Hotspot Setup». К слову, похожая тактика использовалась и при разработке предыдущего варианта – Shamoon 2. Тогда злоумышленники пытались замаскировать червя под продукт VMWare.
Судя по некоторым признакам, в частности, наличии изображений с политическим подтекстом, новая версия разрабатывалась на основе исходного кода Shamoon 2,замеченногов 2016-2017 годах в атаках на организации, работающие в критически важных и экономических секторах Саудовской Аравии.
На данный момент специалисты не могут с точностью утверждать, что проанализированный вариант Shamoon уже использовался в кибератаках, но учитывая временной промежуток предыдущих кампаний (ноябрь 2016 и конец января 2017 годов), новые атаки могут быть запланированы на период праздников. По мнению ряда экспертов в области кибербезопасности, к разработке Shamoon причастна иранская правительственная кибергруппировка APT33, но аналитики Anomali Labs не исключают, что старый образец червя мог быть модифицирован другими злоумышленниками, не имеющими отношения к создателям оригинальной версии Shamoon.
