سرنخ‌های جدیدی از بدافزار شمعون۲ کشف شد

محققان امنیتی به‌تازگی بررسی‌های جدیدی را بر روی بدافزار شمعون۲ انجام دادند و سرنخ‌های جدیدی از ابزارها و روش‌های مورد استفاده توسط این گروه کشف کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تا هفته‌ قبل محققان امنیتی به‌دنبال پاسخ این سؤال بودند که چگونه بدافزار شمعون۲ سامانه‌های هدف و زیرساخت‌ها را آلوده می‌کند. در حال حاضر به لطف بررسی‌هایی که محققان و کارشناسان امنیتی انجام داده‌اند به این سؤال پاسخ داده شده‌است. یک کارشناس امنیتی با نام نیل دنیز در وبلاگ خود راجع‌به این تحقیق نوشت: «ما امیدوار بودیم با کشف نشانه‌ها و بررسی بر روی شمعون۲ بتوانیم روند آلودگی به این بدافزار را تشخیص دهیم و از وقوع آن پیشگیری کنیم.» هفته‌ گذشته X-Force آی‌بی‌ام گزارش داد که چگونه سامانه‌های قربانی به بدافزار شمعون۲ آلوده می‎شوند.

در این گزارش گفته شده در مراحل اولیه‌ آلودگی از اسنادی که حاوی ماکروهای مخرب هستند استفاده می‌شود. رایانامه‌ای که برای قربانیان ارسال می‌شود، حاوی سندی با ماکروهای مخرب است. زمانی که این سند اجرا می‌شود از طریق پاورشِل با کارگزار دستور و کنترل ارتباط برقرار خواهد‌شد. مهاجمان در ادامه بدافزار شمعون۲ را بارگیری و نصب می‌کنند. محققان با بررسی سه نمونه از بدافزار، توانستند آن را به دامنه‌های مخرب، آدرس‌های IP و منابع وابسته به این بدافزار ردیابی کنند.

محققان می‌گویند در بررسی‌های خود متوجه شده‌اند بدافزار شمعون۲ با گروه‌های نفوذی مانند Magic Hound و PuppyRAT که توسط دولت‌هایی در خاورمیانه پشتیبانی می‌شوند، در ارتباط است. دنیز در پست خود گفته است: «در‌حال حاضر ما می‌توانیم با اطمینان بگوییم که چه‌کسی پشت بدافزار شمعون۲ است و این بدافزار چگونه کار می‌کند.»

سرنخ دیگری که وجود دارد یک پرونده با نام sloo.exe که بدافزار شمعون۲ آن را بر روی سامانه‌ هدف در پوشه‌ Temp قرار داده‌است. دنیز در توضیحات فنی درباره‌ پژوهش خود نوشت: «این پرونده در مسیرهای C:\Documents و Settings\Admin\Local Settings\Temp\sloo.exe ایجاد شده‌است. علاوه‌بر این پرونده، بدافزار با استفاده از پاورشِل به آدرس ۱۰۴.۲۳۸.۱۸۴.۲۵۲ متصل می‌شود.»

با بررسی‌های بیشتر بر روی آدرس‌های IP پاورشِل در این بدافزار، مشخص شد یک پویش جعل گواهی‌نامه نیز وجود دارد که اولین‌بار بر روی دامنه‌ go-microstf[.]com برای جعل صفحه‌ ورود در سرویس تجزیه‌و تحلیل گوگل مورد استفاده قرار می‌گرفت. دنیز می‌گوید این پویش جعل گواهی‌نامه تا اواخر ژانویه که حملات شمعون۲ ادامه داشت، مشاهده شده‌بود.

بدافزار شمعون۲ تقریباً از آبان‌ماه سال جاری پدیدار شد درحالی‌که نسخه‌ اصلی بدافزار شمعون، چهار سال است که وجود دارد و در حملاتی گسترده شرکت نفت و گاز آرامکو در عربستان سعودی را هدف قرار داده بود. مشابه بدافزار اصلی، نسخه‌ به‌روزرسانی‌شده‌ شمعون۲ نیز با حذف رکوردهای بوت اصلی و داده‌ها، سامانه‌های هدف را تخریب می‌کند. گزارش‌ها حاکی از آن است که شمعون۲ علاوه بر سازمان‌های پتروشیمی، بانک‌های مرکزی را نیز در عربستان سعودی هدف قرار داده است.