上周,Chronicle的安全专家宣布发现臭名昭着的Shamoon恶意软件的新变种,该样本在意大利石油服务公司Saipem宣布遭受网络攻击的时候上传到意大利的Virus Total。Saipem的300多台服务器已被Shamoon感染。
近日安全专家已经发现了新的Shamoon变种的不同样本,这表明攻击可能比最初预想的影响范围更大, 第二个样本于12月13日从荷兰上传至Virus Total。
Anomali实验室的恶意软件研究人员证实,第二个样本与此前Chronicle发现的样本不同。其触发日期为提前设定,但直至2017年12月12日,样本活动比设置的日期晚5天。研究人员推测,提前设定可能是为了恶意软件能立即在目标系统中执行指令。使用C2可以检索触发日期,但Anomali Labs 分析的样本不包括对命令和控制服务器的任何引用。
"这个新版本的Shamoon一个显著特征是它与早期版本的Shamoon相似度达80%,并且可以使用一个历史触发日期,这样一旦感染了用户的机器,它就可以立即执行破坏性操作。"
此次尽管尚未证实是伊朗APT组织的工作,但恶意软件的代码库,目标区域和目标地理位置都在曾经出现的攻击中被观察到,这些攻击被证实都源于伊朗的恶意分子。
新识别的样本由UPX打包,试图修改恶意软件的签名从而更难被检测到。新的Shamoon变体还在其文件描述中使用“VMWare 工作站”,试图利用合法的软件产品欺骗受害者。
Anomali实验室目前还没有将这个样本与一次活跃的网络攻击联系起来,不过他们分析它可能代表了Shamoon V3行动中的其他目标。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
