Новый вариант червя Shamoon маскируется под ПО Baidu
Экспертам пока не известны случаи использования свежей версии в кибератаках.
Специалисты компании Anomali Labs обнаружили новую версию червя Shamoon, ранее использовавшегося в кибератаках на нефтегазовые компании в странах Ближнего Востока. Последним известным случаем применения одной из свежих версий вайпера стала атака на серверы итальянской нефтегазовой компании Saipem в декабре текущего года, от которой пострадало свыше 300 серверов и 100 компьютеров предприятия. По данным исследователей, новый вариант Shamoon был загружен на сервис VirusTotal 23 декабря 2018 года с французского IP-адреса. Вредонос маскировался под инструмент для настройки и оптимизации системы китайской компании Baidu и был подписан ее цифровым сертификатом, выпущенным в мае 2015 года. В настоящее время цифровая подпись недействительна, поскольку срок действия сертификата истек еще в марте 2016 года. Новая версия была упакована с использованием утилиты для лицензирования и защиты исполняемых файлов Enigma Protector (версия 4).
В попытке выдать вредонос за официальное программное обеспечение вирусописатели в имени файла указали «Baidu PC Faster», а в описании – «Baidu WiFi Hotspot Setup». К слову, похожая тактика использовалась и при разработке предыдущего варианта – Shamoon 2. Тогда злоумышленники пытались замаскировать червя под продукт VMWare.
Судя по некоторым признакам, в частности, наличии изображений с политическим подтекстом, новая версия разрабатывалась на основе исходного кода Shamoon 2, замеченного в 2016-2017 годах в атаках на организации, работающие в критически важных и экономических секторах Саудовской Аравии.
На данный момент специалисты не могут с точностью утверждать, что проанализированный вариант Shamoon уже использовался в кибератаках, но учитывая временной промежуток предыдущих кампаний (ноябрь 2016 и конец января 2017 годов), новые атаки могут быть запланированы на период праздников. По мнению ряда экспертов в области кибербезопасности, к разработке Shamoon причастна иранская правительственная кибергруппировка APT33, но аналитики Anomali Labs не исключают, что старый образец червя мог быть модифицирован другими злоумышленниками, не имеющими отношения к создателям оригинальной версии Shamoon.