Отчеты о целевых атаках (APT)

От Shamoon к StoneDrill

Wiper-подобные программы атакуют компании в Саудовской Аравии и не только

 Скачать полную версию отчета (англ.)

C ноября 2016 «Лаборатория Касперского» наблюдает новую волну атак с использованием зловреда типа Wiper, нацеленных на многочисленные объекты на Ближнем Востоке. Это вредоносное ПО является модификацией знаменитого червя Shamoon, который в 2012 году заразил сети крупнейших нефтяных компаний Saudi Aramco и Rasgas.

После четырехлетнего периода бездействия один из самых таинственных Wiper в истории вернулся.

На сегодняшний день можно говорить о трех волнах атак с применением зловреда Shamoon 2.0, запущенных 17 и 29 ноября 2016 года и 23 января 2017 года.

Известный также под именем Disttrack, зловред Shamoon принадлежит к семейству вредоносных программ большой разрушительной силы, которые эффективно удаляют данные с компьютеров-жертв. Некая группировка Cutting Sword of Justice взяла на себя ответственность за атаку на Saudi Aramco, анонсируя ее на Pastebin непосредственно в день проведения (в 2012 году) и обосновывая свои действия тем, что они выступают против Саудовской монархии.

Атака с использованием Shamoon 2.0 в ноябре 2016 года была нацелена на организации, работающие в критически важных и экономических секторах Саудовской Аравии. Как и у предыдущей версии зловреда задачей Shamoon 2.0 был массовый вывод из строя компьютерных систем зараженных организаций.

Новые атаки имеют много общего с атаками 2012 года, но при этом используют новые инструменты и методы. На первом этапе злоумышленники получают учетные данные администратора сети жертвы. Затем они создают пользовательскую программу-wiper (Shamoon 2.0), которая использует эти учетные данные для широкого распространения по всей внутренней сети организации. И наконец, в установленную дату, программа-wiper активируется и полностью выводит из строя зараженные машины. Следует отметить, что финальные стадии атак полностью автоматизированы, им не требуется связь с командным центром.

Исследуя атаку Shamoon 2.0, эксперты «Лаборатория Касперского» обнаружили ранее неизвестную вредоносную программу-wiper, которая, предположительно, предназначалась для атаки на организации в Саудовской Аравии. Мы назвали ее StoneDrill. StoneDrill имеет определенные «стилистические» сходства с Shamoon, но кроме них применяет другие интересные функции и методы, чтобы избежать обнаружения. Помимо потенциальных организаций-мишеней в Саудовской Аравии одна жертва StoneDrill, по данным Kaspersky Security Network (KSN), находилась в Европе. Это позволяет нам предположить, что стоящие за StoneDrill киберпреступники расширяют зону своих интересов, которая кроме Ближнего Востока теперь включает и Европу.

Некоторые характеристики новых wiper-атак с использованием Shamoon и StoneDrill:

  • В состав Shamoon 2.0 помимо его обычного wiper-функционала входит полноценный модуль программы-вымогателя.
  • Shamoon 2.0 содержит как 32-битные, так и 64-битные компоненты.
  • Образцы Shamoon, которые мы анализировали в январе 2017 года, не имеют интегрированного модуля коммуникации с командным центром, тогда как предыдущие версии включали базовый C&C-функционал, который связывался с локальными серверами в сети жертвы.
  • StoneDrill активно использует технологии обхода, чтобы избежать исполнения в «песочнице».
  • Shamoon включает ресурсы на йеменском арабском языке, тогда как StoneDrill в основном включает ресурсы на персидском языке. Конечно, мы не исключаем возможности установки ложных флажков.
  • В отличие от Shamoon StoneDrill для своего развертывания не использует драйверы, он внедряет модуль программы-wiper в память браузера, которым жертвы пользуются чаще всего.
  • Между Shamoon и StoneDrill имеется некоторое сходство.
  • Несколько общих свойств были обнаружены у StoneDrill и ранее проанализированных NewsBeef-атак.

В настоящее время мы готовим полный технический отчет, в котором формулируем новый взгляд на атаки с использованием Shamoon 2.0 и StoneDrill, включая следующее:

  1. Технологии и стратегии, которые мы использовали для обнаружения Shamoon и StoneDrill.
  2. Подробности о функционале программы-вымогателя, обнаруженном в Shamoon 2.0. В настоящее время этот функционал неактивен, но может быть использован в будущих атаках.
  3. Подробности о вновь обнаруженных функциях StoneDrill, в том числе о его деструктивных возможностях (даже с ограниченными привилегиями пользователя).
  4. Детали сходства вредоносных стилей и сходства исходного кода вредоносных компонентов, обнаруженных в Shamoon, StoneDrill и NewsBeef.

Обнаружение нами StoneDrill добавляет еще один аспект при взгляде на нынешнюю волну wiper-атак на организации Саудовской Аравии, которые начались с Shamoon 2.0 в ноябре 2016 года. По сравнению с новыми версиями Shamoon 2.0 наиболее существенным отличием является отсутствие драйвера диска, который используется для прямого доступа на этапе разрушения. Однако для выполнения деструктивных функций на файловом уровне (что вредоносная программа делает вполне успешно) непосредственный доступ к диску не требуется.

Конечно, одним из самых важных вопросов здесь является связь между Shamoon и StoneDrill. Обе программы-wiper, по всей видимости, были использованы против организаций в Саудовской Аравии в одно и то же время – в октябре-ноябре 2016 года. На этот счет может быть несколько теорий:

  • StoneDrill является менее используемым wiper-инструментом, разворачиваемым в определенных ситуациях той же группой Shamoon
  • StoneDrill и Shamoon используются разными группами с общими интересами
  • StoneDrill и Shamoon используются двумя разными, не связанными между собой группами, которые по случайному совпадению в одно и то же время атаковали цели в Саудовской Аравии

Принимая во внимание все факторы, наиболее вероятной мы считаем вторую теорию.

Кроме того, StoneDrill, похоже, связан с активностью давно известного NewsBeef, который продолжает атаковать организации в Саудовской Аравии. С этой точки зрения, NewsBeef и StoneDrill, по всей видимости, предназначены для длительного использования в атаках на организации в Саудовской Аравии, тогда как Shamoon является высокоэффективным инструментом кратковременного применения.

С точки зрения атрибуции, Shamoon включает ресурсы на йеменском арабском языке, тогда как StoneDrill в основном включает ресурсы на персидском языке. Геополитические аналитики обязательно сразу же укажут на то, что и Иран, и Йемен – участники прокси-конфликта между Ираном и Саудовской Аравией. Конечно, мы не исключаем возможность установки ложных флажков.

Наконец, остается без ответа вопрос о StoneDrill и NewsBeef. Обнаружение программы-wiper StoneDrill в Европе является важным признаком того, что группа расширяет свои разрушительные атаки за пределами Ближнего Востока. Мишенью атаки, как представляется, стала крупная корпорация с широкой областью деятельности в нефтехимической отрасли и без видимой связи или видимого интереса в Саудовской Аравии.

Как обычно, мы будем продолжать наблюдать за атаками Shamoon, StoneDrill и NewsBeef.

Презентация о StoneDrill пройдет на конференции Kaspersky Security Analyst Summit 2-6 апреля 2017 года.

«Лаборатория Касперского» детектирует образцы Shamoon и StoneDrill как

Trojan.Win32.EraseMBR.a
Trojan.Win32.Shamoon.a
Trojan.Win64.Shamoon.a
Trojan.Win64.Shamoon.b
Backdoor.Win32.RemoteConnection.d
Trojan.Win32.Inject.wmyv
Trojan.Win32.Inject.wmyt
HEUR:Trojan.Win32.Generic

Индикаторы заражения

Shamoon MD5s

00c417425a73db5a315d23fac8cb353f
271554cff73c3843b9282951f2ea7509
2cd0a5f1e9bcce6807e57ec8477d222a
33a63f09e0962313285c0f0fb654ae11
38f3bed2635857dc385c5d569bbc88ac
41f8cd9ac3fb6b1771177e5770537518
5446f46d89124462ae7aca4fce420423
548f6b23799f9265c01feefc6d86a5d3
63443027d7b30ef0582778f1c11f36f3
6a7bff614a1c2fd2901a5bd1d878be59
6bebb161bc45080200a204f0a1d6fc08
7772ce23c23f28596145656855fd02fc
7946788b175e299415ad9059da03b1b2
7edd88dd4511a7d5bcb91f2ff177d29d
7f399a3362c4a33b5a58e94b8631a3d5
8405aa3d86a22301ae62057d818b6b68
8712cea8b5e3ce0073330fd425d34416
8fbe990c2d493f58a2afa2b746e49c86
940cee0d5985960b4ed265a859a7c169
9d40d04d64f26a30da893b7a30da04eb
aae531a922d9cca9ddca3d98be09f9df
ac8636b6ad8f946e1d756cd4b1ed866d
af053352fe1a02ba8010ec7524670ed9
b4ddab362a20578dc6ca0bc8cc8ab986
baa9862b027abd61b3e19941e40b1b2d
c843046e54b755ec63ccb09d0a689674
d30cfa003ebfcd4d7c659a73a8dce11e
da3d900f8b090c705e8256e1193a18ec
dc79867623b7929fd055d94456be8ba0
ec010868e3e4c47239bf720738e058e3
efab909e4d089b8f5a73e0b363f471c1

StoneDrill MD5s

ac3c25534c076623192b9381f926ba0d
0ccc9ec82f1d44c243329014b82d3125
8e67f4c98754a2373a49eaf53425d79a
fb21f3cea1aa051ba2a45e75d46b98b8

StoneDrill C2s

www.eservic[.]com
www.securityupdated[.]com
www.actdire[.]com
www.chromup[.]com

NewsBeef C2s

www.chrome-up[.]date
service1.chrome-up[.]date
service.chrome-up[.]date
webmaster.serveirc[.]com

 Скачать полную версию отчета (англ.)

От Shamoon к StoneDrill

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике