Malware Shamoon / DistTrack - Nuova variante e IoC caricati su VirusTotal (Dicembre 2018)

Malware Shamoon / DistTrack - Nuova variante e IoC caricati su VirusTotal (Dicembre 2018)

Secondo il sito di Security Affairs, è stata diffusa nell'ultima settimana una variante del noto malware conosciuto come Shamoon e DistTrack.

"DistTrack" risale ad inizio 2012 ed è stato un worm che impattava il Master Boot Record (MBR) di un hard disk, per comprometterlo.
Inizialmente sono stati evidenziati attacchi aventi come target diverse infrastrutture in Arabia Saudita.

Il worm è stato attenzionato per diversi anni fino ad ora, finché ne è stata caricata una nuova variante su VirusTotal da parte dell'Italia.

Security Affairs ha affermato che non si può escludere una correlazione tra il recente attacco informatico ai server della Saipem S.P.A. e questa nuova variante del malware. Questa informazione è stata confermata dalla Saipem ieri, mercoledì 12/12/18, affermando che il malware ha colpito l'infrastruttura, cancellando ingenti quantità di dati, ma che le procedure di ripristino da backup sono in atto.
(fonte: http://www.saipem.com/sites/SAIPEM_en_IT/con-side-dx/Press%20releases/2018/Cyber attack update.page).

Le varianti di Shannon/DistTrack sono state identificate da Trend Micro con i nominativi:

Le TTP

Stando al Mitre Attack (fonte in fondo all'articolo), le tecniche utilizzate dalla versione analizzata nel 2016, sono le seguenti:

  • Bypass dello User Account Control modificando il registro
  • Uso di porta 8080 per comunicare con un server Command & Control (C2)
  • Accesso alle cartelle di sistema ADMIN$, C$\Windows, D$\Windows, e E$\Windows
  • Tentativo di sovrascrivere file di sistema
  • Creazione di un servizio apparentemente legittimo mostrato come "Microsoft Network Realtime Inspection Service"
  • Modifica della chiave di registro "SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy" impostando come valore 1
  • Offuscamento del codice con codifica in Base64
  • Scansione della rete di classe C dove è presente la macchina vittima

Gli IOC

Su VirusTotal, cercando l'hashtag "#shannon", emergono 6 caricamenti, di cui tre caricati il 10/12/18 e tre oggi 13/12/18. Gli altri caricamenti non interessano particolarmente perché risalgono ad aprile 2018 e prima.

I sample si trovano qui:

In caso vogliate fare delle verifiche con gli MD5 dei sample caricati, ecco gli hash dei sample:

85E08245159A13AAD29506ECA1C22542
FA06A08C36BBD19C80C3831736020823
3E7FE96FBB8A19ABB6424D4118E80199
001D216EE755F0BC96125892E2FB3E3A
DE07C4AC94A50663851E5DABE6E50D1F
B41F586FC9C95C66F0967F1592641A85

Letture Interessanti:

Mostra i Commenti