攻击石油公司的恶意软件又出来一个StoneDrill 它跟Shamoon的攻击行为很类似

Shamoon,2012年就出现的一个神秘的磁盘擦除器。去年11月, Shamoon恶意软件突然出现,并攻击了沙特的石油机构 ,这次攻击中使用了更新后的Shamoon 2.0,它增加了新的工具和技术,包括减少对外部命令和控制服务器,一个具有完全功能的勒索软件模块和新的32位及64位组件。有消息称在随后的几个月中,该恶意软件又更新了三次。

回顾一下Shamoon 2.0的功能特性

像2012年的Shamoon一样,新版本悄然融入到目标网络中,攻击者可以获得管理员权限。 Shamoon 2.0允许攻击者构建一个使用权限,在组织内广泛传播的自定义磁盘擦除器。 设定攻击日期后,磁盘擦除器激活并且毁掉硬盘数据,使受感染机器不能操作。攻击的最后阶段是自动化的,这一特性消除了与命令和控制服务器通信的关联。

然而最近,来自卡巴斯基实验室的研究人员称,他们又发现了一款新的磁盘擦除器:“StoneDrill”,这次它的攻击目标是欧洲的石油公司。在此之前,欧洲境内还未曾出现过这种恶意软件。

新的恶意软件StoneDrill攻击欧洲石油公司

StoneDrill具有令人印象深刻的能力,可以在安装过程中不再使用磁盘驱动器的隐藏分区来逃避检测。它用一个擦除模块注入到与用户的首选浏览器相关的计算机内存中。

StoneDrill还包括用于间谍目的的后门功能。卡巴斯基研究人员发现了四个命令和控制面板,攻击者用来对未知目标进行数据窃取。除了与Shamoon共享代码相似,StoneDrill还针对世界各地的组织,重用了用于间谍活动的代码,命名为“NewsBeef” 。

卡巴斯基实验室的研究人员在 周一发表的一份35页的报告中 写道:

“在欧洲的StoneDrill 磁盘擦除器的发现是一个重要的标志,该集团正在扩大其在中东以外的破坏性攻击。“

攻击的目标似乎是一个大型公司,在石化行业有广泛的活动领域,在沙特阿拉伯没有明显的联系或利益关系。

StoneDrill跟Shamoon之前是否有联系?

研究人员还不知道StoneDrill与Shamoon有什么关联。 他们说,最合理的关系是,它们属于两个不同的黑客团体,但是利益是一致的。 这个理论与StoneDrill包含对阿拉伯语/也门语言的支持的发现一致,而Shamoon主要包含波斯语言支持。它们都是参与者。“研究人员在周一的报告中指出。

fac0b0c

研究人员还注意到,嵌入式语言部分中的一个或两个都是“false flags”,企图误导调查人员了解恶意软件的来源。另一种可能性是,StoneDrill是一个较少使用的磁盘擦除器,在某些情况下由使用Shamoon的同一组部署。也有可能的是,StoneDrill和Shamoon被两个不同的组织使用,彼此没有连接,只是发生在同时瞄准沙特组织。

6cda01d

StoneDrill受到卡巴斯基实验室的关注,是因为研究人员正在调查最近的Shamoon几波攻击。 他们调查到一个称为YARA的恶意软件搜索工具 。研究人员最初认为,他们发现了一个新的Shamoon变种。经过深入分析,发现这是个截然不同的恶意软件,称之为StoneDrill。卡巴斯基实验室的研究人员目前仍然不知道StoneDrill如何传播。

最新的Shamoon及StoneDrill都证明,尽管经过近五年的中断,但是它在未来几个月或几年会再次爆发。

Shamoon及StoneDrill分析报告全文下载

7a27a82

文章来源于:安全加

0

相关文章

发表评论

电子邮件地址不会被公开。