IBM X-Force 事件響應(yīng)與情報服務(wù)(IRIS)團(tuán)隊：臭名昭著的磁盤清除惡意軟件Shamoon，利用啟用宏的文檔和PowerShell腳本感染目標(biāo)系統(tǒng)。

[[184895]]

最近，針對沙特阿拉伯和其他波斯灣國家的攻擊中，發(fā)現(xiàn)了Shamoon 2的身影。該惡意軟件還有另一個名稱——Disttrack，其變種很多，包括一款能夠攻擊虛擬桌面基礎(chǔ)架構(gòu)(VDI)產(chǎn)品的。

賽門鐵克近期進(jìn)行的一份分析顯示：Shamoon背后的攻擊者，也就是很多人認(rèn)為的伊朗黑客，可能有昵稱為Greenbug的黑帽子相助。賽門鐵克在同一系統(tǒng)中發(fā)現(xiàn)這兩個惡意軟件的存在后，將Greenbug和Shamoon聯(lián)系了在一起。

X-Force IRIS 研究人員分析了最近一波的Shamoon攻擊，確認(rèn)最初的泄露可能在該惡意軟件部署并激活前數(shù)周就已發(fā)生。

需要指出的是，很多案例中，Shamoon都被編程為在特定的日期和時間發(fā)動，尤其是在目標(biāo)公司的員工不太可能注意到其活動的時候。

專家認(rèn)為，攻擊者采用武器化Office文檔作為入口點。這些文檔包含有惡意宏，一旦執(zhí)行，就會啟動命令與控制(C&C)通信，并通過PowerShell建立遠(yuǎn)程Shell。

這些惡意文件通常包含有簡歷和其他人力資源文檔，通過漁叉式網(wǎng)絡(luò)釣魚郵件發(fā)送給目標(biāo)用戶。IBM發(fā)現(xiàn)的其中一些文檔提到了一家位于埃及的軟件人才服務(wù)公司——IT Worx，以及沙特阿拉伯的商務(wù)與投資部(MCI)。

文檔一被打開，就會執(zhí)行宏代碼，然后啟動PowerShell建立信道，使攻擊者能夠在被感染設(shè)備上遠(yuǎn)程執(zhí)行指令。

攻擊者還能借此部署其他工具和惡意軟件，獲得對受害者網(wǎng)絡(luò)的進(jìn)一步訪問權(quán)。一旦關(guān)鍵服務(wù)器被發(fā)現(xiàn)，攻擊者就可以部署Shamoon，清除硬盤數(shù)據(jù)，導(dǎo)致系統(tǒng)無法運作。

文檔中發(fā)現(xiàn)的宏會執(zhí)行兩個PowerShell腳本，其中一個來自托管了跨平臺遠(yuǎn)程訪問工具(RAT)Pupy的某個域名。該RAT和域名，在對名為“魔法獵犬( Magic Hound )”的伊朗相關(guān)黑客活動的分析中也有出現(xiàn)。

IBM研究人員相信，最近的分析和沙特阿拉伯發(fā)布的警告，有可能會讓Shamoon攻擊者再次消失，就像他們在2012年沙特阿美行動后銷聲匿跡一樣，并且為下一波攻擊修改戰(zhàn)術(shù)。