Em uma nova análise do malware Shamoon2, pesquisadores da Arbor Networks’ Security Engineering and Response Team (ASERT) dizem ter descoberto novas pistas sobre as ferramentas e técnicas usadas na mais recente onda de ataques.
Shamoon2 surgiu em novembro, aproximadamente quatro anos após o Shamoon original ter sido usado em ataques contra a Saudi Aramco, uma empresa nacional de petróleo e gás natural sediada na Arábia Saudita. Assim como o malware Shamoon original, a versão atualizada também destrói o disco rígido do computador, limpando o registro mestre de inicialização e os dados. O Shamoon2 possui, além do segmento petroquímico, foco também no sistema de bancos centrais da Arábia Saudita, segundo relatos.
Contudo, até a semana passada, os pesquisadores ainda estavam buscando respostas básicas para perguntas sobre como o Shamoon2 infecta seus hosts e sua infraestrutura de back-end. Neal Dennis, analista de inteligência de ameaças cibernéticas da Arbor Networks, disse que graças à pesquisa de terceiros, a equipe da ASERT foi capaz de responder a novas perguntas sobre o Shamoon2.
“Esperamos que, através do fornecimento de indicadores adicionais, os investigadores e os defensores da rede serão capazes de descobrir e mitigar ainda mais o Shamoon2”, disse Dennis, também explicando sua pesquisa em uma postagem no blog.
Na semana passada, a IBM X-Force informou como o Shamoon2 estava infectando os hosts. Em seu relatório, a X-Force disse que as macros maliciosas baseadas em documentos foram usadas como meios de infecções iniciais. Os e-mails enviados para destinos incluíram um documento contendo uma macro mal-intencionada que, quando aprovada para execução, permite comunicações de comando e controle para o servidor do invasor por meio de comandos do PowerShell.
Em seguida, os invasores utilizam este acesso para implantar ferramentas adicionais e acessar outros recursos da rede. Os atacantes, então, baixam e implementam o malware Shamoon2 na vítima.
Usando a pesquisa da X-Force como um trampolim, Dennis disse que a ASERT foi capaz de ir mais a fundo e realizar uma análise pela primeira vez da infraestrutura do Shamoon2. Ao analisar três amostras de malware X-Force, Dennis disse que ele era capaz de rastreá-los de volta para domínios maliciosos, endereços IP e outros artefatos de malware Shamoon2 desconhecidos.
ASERT disse que sua análise do Shamoon2 mostra conexões com grupos patrocinados pelo Estado do Oriente Médio, como Magic Hound e PuppyRAT. Isso pode não ser uma grande revelação, considerando que em 2012 o malware Shamoon também estava ligado a grupos do Oriente Médio patrocinados pelo Estado. “Agora podemos começar a ver quem está por trás do Shamoon2 e como funciona sua infraestrutura de backend”, disse Dennis.
Dennis afirmou que os pesquisadores da ASERT conseguiram, concomitantemente à pesquisa da X-Force, fazer uma referência cruzada com o nome do autor do documento malicioso “gerry.knight” e outros endereços IP usados pelo PowerShell do Shamoon2 para os agentes de ameaças Magic Hound e PuppyRAT.
“Neste caso, uma amostra do relatório da IBM indicou que o autor do documento era ‘gerry.knight'”, disse Dennis. Isso levou os pesquisadores da ASERT a três amostras adicionais de documentos usados para distribuir macros maliciosas não relacionadas às campanhas Shamoon2, disse Dennis. Essas amostras corresponderam aos documentos existentes que foram usados nas campanhas do Magic Hound.
Uma pista adicional era um arquivo “sloo.exe”, injetado pelo Shamoon2 na pasta “Temp” do computador alvo. “O arquivo foi criado em C:\Documents and Settings\Admin\Local Settings\Temp\sloo.exe. Além desse arquivo, a amostra também contactou 104.238.184[.]252 para o executável do PowerShell”, escreveu Dennis em uma descrição técnica de sua pesquisa.
Ele disse ainda que a pesquisa separada por Palo Alto Networks atribuiu o arquivo “sloo.exe” e também atividades relacionadas ao Magic Hound.
Outras análises em IPs usadas pelo PowerShell do Shamoon2 também mostraram as campanhas de coleta de credenciais existentes, uma vez usadas no domínio go-microstf[.]com, originalmente configurado para spoofear a página de login do Google Analytics. Esta campanha de spoof, disse Dennis, estava ativa em janeiro, o período de tempo dos últimos ataques do Shamoon2.
“Nós temos realizado muitas pesquisas relacionadas e ligamos muitos pontos pela primeira vez”, disse Dennis. “Com esta pesquisa adicional, esperamos fornecer mais contexto na ameaça em curso do Shamoon2.”
Publicado originalmente no ThreatPost em 24 de fevereiro de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: William Verrill