Shamoon新变种发布,意大利石油服务公司Saipem成首批受害者

来源:黑客视界2019.06.20

     上周,Chronicle的安全专家宣布发现臭名昭着的Shamoon恶意软件新变种,该样本在意大利石油服务公司Saipem宣布遭受网络攻击的时候上传到意大利的Virus Total。Saipem的300多台服务器已被Shamoon感染

近日安全专家已经发现了新的Shamoon变种的不同样本,这表明攻击可能比最初预想的影响范围更大, 第二个样本于12月13日从荷兰上传至Virus Total。

Anomali实验室的恶意软件研究人员证实,第二个样本与此前Chronicle发现的样本不同。其触发日期为提前设定,但直至2017年12月12日,样本活动比设置的日期晚5天。研究人员推测,提前设定可能是为了恶意软件能立即在目标系统中执行指令。使用C2可以检索触发日期,但Anomali Labs 分析的样本不包括对命令和控制服务器的任何引用。

"这个新版本的Shamoon一个显著特征是它与早期版本的Shamoon相似度达80%,并且可以使用一个历史触发日期,这样一旦感染了用户的机器,它就可以立即执行破坏性操作。"

此次尽管尚未证实是伊朗APT组织的工作,但恶意软件的代码库,目标区域和目标地理位置都在曾经出现的攻击中被观察到,这些攻击被证实都源于伊朗的恶意分子。

新识别的样本由UPX打包,试图修改恶意软件的签名从而更难被检测到。新的Shamoon变体还在其文件描述中使用“VMWare 工作站”,试图利用合法的软件产品欺骗受害者。

Anomali实验室目前还没有将这个样本与一次活跃的网络攻击联系起来,不过他们分析它可能代表了Shamoon V3行动中的其他目标。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态