前世今生系列 ——Shamoon,动荡的波斯湾

本文主要是将Shamoon的活动梳理清楚。Shamoon是一个磁盘擦除恶意软件,shamoon的活动目标主要在波斯湾地区(中东),针对的主要目标实体为石油、天然气等能源行业;航空航天、政府等。以下为该组织主要活动。

  1. 2012年,Shamoon / Disttrack恶意软件出现在海湾地区。它感染了约30,000台计算机的磁盘,经专家分析其目的是为了阻止沙特的石油生产。2012年的攻击事件被定义为Shamoon 2.0活动。赛门铁克对当时活动做了分析,使用木马病毒样本为W32.Disttrack,针对沙特石油等能源行业,赛门铁克将攻击事件命名为Shamoon袭击事件。附卡巴斯基分析。
  2. 2016年,火眼赛门铁克crowdstrike发布报告称Shamoon活动回归,针对国家还是沙特阿拉伯。UNIT42同样发布报告称Shamoon根据沙特工作时间外擦除数据、感染系统。沙特民用航空局表示收到了shamoon2.0的攻击。在2012年JPEG图像覆盖文件和分区表使用的一个燃烧的星条旗国旗的形象,而在2016年,它是淹死的叙利亚难民儿童艾伦库尔迪的形象。
  3. 2016年到2017年初,shamoon持续活动,共计发现shamoon三次活动,2016年11月2次,2017年1月 1次。UNIT42 赛门铁克等安全公司发布报告称捕获到shamoon活动。赛门铁克发现针对中东的了Greenbug cyberespionage与shamoon有关联。赛门铁克怀疑shamoon使用的网络凭据是Greenbug cyberespionage组织窃取的,而Greenbug cyberespionage组织使用了一种名为Ismdoor的远程访问木马(RAT)以及针对中东组织的各种攻击工具。袭击者瞄准了几个国家的航空,投资,政府和教育组织,包括沙特阿拉伯,伊朗,伊拉克,巴林,卡塔尔,科威特和土耳其,以及一家位于澳大利亚的沙特公司。
  4.  Palo Alto Networks发布了一份关于Magic Hound的报告,这是一项针沙特阿拉伯能源,政府和技术部门组织的活动。研究人员还发现了魔术猎犬攻击与其他两个与伊朗相关的高级持续威胁(APT)演员之间的联系:迷人小猫和火箭小猫。赛门铁克追踪Magic Hound背后的团队为Timberworm,SecureWorks将其命名为COBALT GYPSY。赛门铁克表示,Timberworm显然为2017年1月的Shamoon袭击提供了便利。该小组与Greenbug类似,在部署Shamoon之前数周或数月就可以访问目标组织的系统,以便进行侦察,收获凭据并建立持久的远程访问。
  5. 2017年9月,火眼发布报告,分析伊朗的网络活动,FireEye将“Nasr研究所”与APT33联系起来,称该研究所据称是伊朗的“网络军”。APT33恶意软件与伊朗人员有关,参见美国司法部起诉受雇于伊朗政府的两个人。APT33使用的一个样本叫做DROPSHOT,而DROPSHOT之前曾被卡巴斯基分析过,后者将其追踪为StoneDrill。StoneDrill恶意软件被卡巴斯基与臭名昭着的Shamoon 2和Charming Kitten(又名Newscaster和NewsBeef)捆绑在一起。
  6. 2018年12月Shamoon恶意软件的新变种从意大利石油服务公司Saipem上载到VirusTotal。该公司为中东某国资产。迈克菲报告称Shamoon 3袭击了中东和南欧的石油,天然气,电信,能源和政府组织;赛门铁克现已报告看到Shamoon 3袭击沙特阿拉伯的一个组织和阿拉伯联合酋长国的一个组织。这两个目标都在石油和天然气行业,并且在袭击Saipem的同一周内发现了攻击。UNIT42对shamoon 3做了详细分析。
  7. 2018年12月19日,火眼UNIT42Mcafee发布报告对shamoon的攻击及样本分析,其中Mcafee对shamoon 3 的组件做了详细分析。
  8. shamoon 3 12月28日在法国上传VT,使用了过期的百度证书,使用Enigma version 4工具作为混淆手段。https://www.anomali.com/blog/destructive-shamoon-malware-continues-its-return-with-a-new-anti-american-message

总结

自“震网”事件以来,伊朗也很重视网军的培养,伊朗一方面是网络攻击的受害者,同样培植势力入侵他国,网军为其网络攻防做了极大贡献。通过分析安全厂商的报告,在样本分析的角度,确实能发现shamoon是一款优秀的工具。卡巴斯基还将震网、火焰病毒与之比较分析。在溯源分析的角度,shamoon与伊朗政府的关系不言而喻。近年来,中东的地缘政治引发网络攻击事件无时无刻不在发生,而通过近年来的威胁报告来看,归于伊朗的网络攻击活动频繁发生,多个APT组织为伊朗政府服务,而shamoon同样被挖出与同属伊朗的APT组织配合活动。

参考报告:

  1. https://www.symantec.com/connect/blogs/shamoon-attacks
  2. https://securelist.com/shamoon-the-wiper-copycats-at-work/57854/
  3. https://www.fireeye.com/blog/threat-research/2016/11/fireeye_respondsto.html
  4. https://www.symantec.com/connect/blogs/shamoon-back-dead-and-destructive-ever
  5. https://www.crowdstrike.com/blog/shamoon2/
  6. https://gaca.gov.sa/web/en-gb/news/cyber-attack
  7. https://unit42.paloaltonetworks.com/unit42-shamoon-2-return-disttrack-wiper/
  8. https://unit42.paloaltonetworks.com/unit42-second-wave-shamoon-2-attacks-identified/
  9. https://www.symantec.com/connect/blogs/greenbug-cyberespionage-group-targeting-middle-east-possible-links-shamoon
  10. http://researchcenter.paloaltonetworks.com/2017/02/unit42-magic-hound-campaign-attacks-saudi-targets/
  11. https://www.symantec.com/connect/blogs/shamoon-multi-staged-destructive-attacks-limited-specific-targets
  12. https://www.justice.gov/usao-sdny/file/835061/download
  13. https://securelist.com/from-shamoon-to-stonedrill/77725/
  14. https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/shamoon-returns-to-wipe-systems-in-middle-east-europe/?utm_content=sf204323137&utm_source=twitter&utm_campaign=McAfee#sf204323137
  15. https://www.symantec.com/blogs/threat-intelligence/shamoon-destructive-threat-re-emerges-new-sting-its-tail
  16. https://researchcenter.paloaltonetworks.com/2018/12/shamoon-3-targets-oil-gas-organization/
  17. https://www.fireeye.com/blog/threat-research/2018/12/overruled-containing-a-potentially-destructive-adversary.html
  18. https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/shamoon-attackers-employ-new-tool-kit-to-wipe-infected-systems/
  19. https://unit42.paloaltonetworks.com/shamoon-3-modified-open-source-wiper-contains-verse-from-the-quran/
  20. https://www.anomali.com/blog/destructive-shamoon-malware-continues-its-return-with-a-new-anti-american-message

发表评论

电子邮件地址不会被公开。 必填项已用*标注