ارتباط بدافزار Kwampirs به هکرهای Shamoon APT


5/5 - (1 امتیاز)

یافته‌ های جدیدی که هفته گذشته منتشر شد، Source Code و تکنیک های مشترک بین اپراتور های هکرهای Shamoon APT و بدافزار Kwampirs را نشان می‌ دهد که محرز میکند آن‌ ها «یک گروه یا همکاران بسیار نزدیک هستند».

Rincón Crespo از Cylera Labs گفت: «شواهد تحقیقاتی شناسایی تکامل مشترک بین خانواده‌ های هکرهای Shamoon APT و بدافزار Kwampirs را در طول جدول زمانی شناخته شده نشان می‌ دهد.

«اگر Kwampirs بر اساس Shamoon اصلی باشد، و کد کمپین Shamoon 2 و 3 مبتنی بر Kwampirs باشد، […] پس نویسندگان Kwampirs به طور قابل توجهی با نویسندگان Shamoon یکسان خواهند بود، یا باید یک رابطه بسیار قوی باهم دارند. Rincón Crespo اضافه کرد که این موضوع در طول سالیان دیده شده است.

Shamoon که با نام DistTrack نیز شناخته می‌ شود، به عنوان یک بدافزار سرقت اطلاعات عمل می‌ کند که همچنین دارای یک Component مخرب است که به آن اجازه می‌ دهد تا Master Boot Record (MBR) را با داده‌ های دلخواه بازنویسی کند تا دستگاه آلوده را از کار بیاندازد.

بدافزاری که توسط گروه هکری همنام توسعه یافته است که با نام‌ های Magic Hound، Timberworm، COBALT GIPSY نیز شناسایی شده است، برای اولین بار توسط Symantec متعلق به Broadcom در مرداد ماه 1391 ثبت شد. حداقل دو نسخه به‌روزرسانی‌ شده Shamoon از آن زمان به وجود آمده است، Shamoon 2 در سال 1395 و Shamoon 3 در سال 1397

در دی ماه 1399، دولت ایالات متحده Shamoon را به عنوان ساخته دست گروهی تحت حمایت دولت ایران نسبت داد و آن را به حملات سایبری که سیستم‌ های کنترل صنعتی را هدف قرار می‌ دهند مرتبط دانست.

از سوی دیگر، حمله (نوع Backdoor) Kwampirs به یک گروه هکری معروف به Orangeworm متصل شده است و Symantec یک کمپین نفوذی را با هدف نهاد های بخش مراقبت های بهداشتی در ایالات متحده، اروپا و آسیا فاش می کند.

کمپین نفوذی Orangeworm

Symantec در تحلیلی در فروردین ماه 1397 گفت: «Orangeworm همچنین حملات هدفمندی را علیه سازمان‌ ها در صنایع مرتبط به عنوان بخشی از یک حمله زنجیره ای بزرگ‌ تر انجام داده است تا به قربانیان مورد نظر خود برسد.»

کشف این اتصال توسط Cylera Labs ناشی از artifacts های بدافزار و Component هایی است که قبلاً مورد توجه قرار نگرفته بودند، که گفته می‌ شود یکی از آنها یک نسخه واسطه ای میباشد که یک Shamoon Dropper است، اما ویژگی Wiper را ندارد، در حالی که به طور همزمان از همان Code Loader های Kwampirs استفاده می کند.

علاوه بر این، شباهت‌ های سطح کد بین Kwampirs و نسخه‌های بعدی Shamoon کشف شده است که شامل قابلیت بازیابی Metadata سیستم، Fetch MAC Address، اطلاعات Layout صفحه‌ کلید قربانی و همچنین استفاده از همان InternetOpenW Windows API برای ایجاد HTTP Request های به سرور فرمان و کنترل (C2) است.

شباهت کد های Kwampirs و Shamoon

همچنین یک سیستم الگوی رایج برای ایجاد ماژول گزارشگر استفاده می شود که دارای قابلیت آپلود اطلاعات Host و دانلود Payload های اضافی برای اجرا از سرور های C2 است، ویژگی که در نسخه اول Shamoon وجود نداشت.

در اتصال نقاط مختلف، تحقیقات به این ارزیابی منجر شده است که Kwampirs احتمالاً مبتنی بر Shamoon 1 است و Shamoon 2 برخی از کد های خود را از Kwampirs به ارث برده است، به این معنی که اپراتور های هر دو بدافزار زیر گروه‌ های متفاوتی از یک گروه بزرگ یا یک هکر است.

شباهت های بین Kwampirs و Shamoon

چنین ادعایی بی مقدمه نیست. همین هفته گذشته، Cisco Talos جزئیات TTP گروه هکری MuddyWater را توضیح داد و خاطرنشان کرد که این گروه یک “مجموعه” از چندین تیم است که به طور مستقل به جای یک گروه هکری واحد عمل می کنند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.