محققان امنیتی بهتازگی بررسیهای جدیدی را بر روی بدافزار شمعون۲ انجام دادند و سرنخهای جدیدی از ابزارها و روشهای مورد استفاده توسط این گروه کشف کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تا هفته قبل محققان امنیتی بهدنبال پاسخ این سؤال بودند که چگونه بدافزار شمعون۲ سامانههای هدف و زیرساختها را آلوده میکند. در حال حاضر به لطف بررسیهایی که محققان و کارشناسان امنیتی انجام دادهاند به این سؤال پاسخ داده شدهاست. یک کارشناس امنیتی با نام نیل دنیز در وبلاگ خود راجعبه این تحقیق نوشت: «ما امیدوار بودیم با کشف نشانهها و بررسی بر روی شمعون۲ بتوانیم روند آلودگی به این بدافزار را تشخیص دهیم و از وقوع آن پیشگیری کنیم.» هفته گذشته X-Force آیبیام گزارش داد که چگونه سامانههای قربانی به بدافزار شمعون۲ آلوده میشوند.
در این گزارش گفته شده در مراحل اولیه آلودگی از اسنادی که حاوی ماکروهای مخرب هستند استفاده میشود. رایانامهای که برای قربانیان ارسال میشود، حاوی سندی با ماکروهای مخرب است. زمانی که این سند اجرا میشود از طریق پاورشِل با کارگزار دستور و کنترل ارتباط برقرار خواهدشد. مهاجمان در ادامه بدافزار شمعون۲ را بارگیری و نصب میکنند. محققان با بررسی سه نمونه از بدافزار، توانستند آن را به دامنههای مخرب، آدرسهای IP و منابع وابسته به این بدافزار ردیابی کنند.
محققان میگویند در بررسیهای خود متوجه شدهاند بدافزار شمعون۲ با گروههای نفوذی مانند Magic Hound و PuppyRAT که توسط دولتهایی در خاورمیانه پشتیبانی میشوند، در ارتباط است. دنیز در پست خود گفته است: «درحال حاضر ما میتوانیم با اطمینان بگوییم که چهکسی پشت بدافزار شمعون۲ است و این بدافزار چگونه کار میکند.»
سرنخ دیگری که وجود دارد یک پرونده با نام sloo.exe که بدافزار شمعون۲ آن را بر روی سامانه هدف در پوشه Temp قرار دادهاست. دنیز در توضیحات فنی درباره پژوهش خود نوشت: «این پرونده در مسیرهای C:\Documents و Settings\Admin\Local Settings\Temp\sloo.exe ایجاد شدهاست. علاوهبر این پرونده، بدافزار با استفاده از پاورشِل به آدرس ۱۰۴.۲۳۸.۱۸۴.۲۵۲ متصل میشود.»
با بررسیهای بیشتر بر روی آدرسهای IP پاورشِل در این بدافزار، مشخص شد یک پویش جعل گواهینامه نیز وجود دارد که اولینبار بر روی دامنه go-microstf[.]com برای جعل صفحه ورود در سرویس تجزیهو تحلیل گوگل مورد استفاده قرار میگرفت. دنیز میگوید این پویش جعل گواهینامه تا اواخر ژانویه که حملات شمعون۲ ادامه داشت، مشاهده شدهبود.
بدافزار شمعون۲ تقریباً از آبانماه سال جاری پدیدار شد درحالیکه نسخه اصلی بدافزار شمعون، چهار سال است که وجود دارد و در حملاتی گسترده شرکت نفت و گاز آرامکو در عربستان سعودی را هدف قرار داده بود. مشابه بدافزار اصلی، نسخه بهروزرسانیشده شمعون۲ نیز با حذف رکوردهای بوت اصلی و دادهها، سامانههای هدف را تخریب میکند. گزارشها حاکی از آن است که شمعون۲ علاوه بر سازمانهای پتروشیمی، بانکهای مرکزی را نیز در عربستان سعودی هدف قرار داده است.