Secondo il sito di Security Affairs, è stata diffusa nell'ultima settimana una variante del noto malware conosciuto come Shamoon e DistTrack.
"DistTrack" risale ad inizio 2012 ed è stato un worm che impattava il Master Boot Record (MBR) di un hard disk, per comprometterlo.
Inizialmente sono stati evidenziati attacchi aventi come target diverse infrastrutture in Arabia Saudita.
Il worm è stato attenzionato per diversi anni fino ad ora, finché ne è stata caricata una nuova variante su VirusTotal da parte dell'Italia.
Security Affairs ha affermato che non si può escludere una correlazione tra il recente attacco informatico ai server della Saipem S.P.A. e questa nuova variante del malware. Questa informazione è stata confermata dalla Saipem ieri, mercoledì 12/12/18, affermando che il malware ha colpito l'infrastruttura, cancellando ingenti quantità di dati, ma che le procedure di ripristino da backup sono in atto.
Le varianti di Shannon/DistTrack sono state identificate da Trend Micro con i nominativi:
Le TTP
Stando al Mitre Attack (fonte in fondo all'articolo), le tecniche utilizzate dalla versione analizzata nel 2016, sono le seguenti:
- Bypass dello User Account Control modificando il registro
- Uso di porta 8080 per comunicare con un server Command & Control (C2)
- Accesso alle cartelle di sistema
ADMIN$,C$\Windows,D$\Windows, eE$\Windows - Tentativo di sovrascrivere file di sistema
- Creazione di un servizio apparentemente legittimo mostrato come "Microsoft Network Realtime Inspection Service"
- Modifica della chiave di registro "
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy" impostando come valore 1 - Offuscamento del codice con codifica in Base64
- Scansione della rete di classe C dove è presente la macchina vittima
Gli IOC
Su VirusTotal, cercando l'hashtag "#shannon", emergono 6 caricamenti, di cui tre caricati il 10/12/18 e tre oggi 13/12/18. Gli altri caricamenti non interessano particolarmente perché risalgono ad aprile 2018 e prima.
I sample sono recuperabili qui:
In caso vogliate fare delle verifiche con gli MD5 dei sample caricati, ecco gli hash dei sample:
85E08245159A13AAD29506ECA1C22542
FA06A08C36BBD19C80C3831736020823
3E7FE96FBB8A19ABB6424D4118E80199
001D216EE755F0BC96125892E2FB3E3A
DE07C4AC94A50663851E5DABE6E50D1F
B41F586FC9C95C66F0967F1592641A85
Cerchiamo fondi per ricostruire la Morte Nera
Quanto sei fedele all'Imperatore?
Mostra il tuo contributo all'Impero 🔫Letture interessanti:
- New Variant of Shamoon Malware Uploaded to VirusTotal | SecurityWeek.Com
- New Shamoon was uploaded to Virus Total while Saipem was under attackSecurity Affairs
- Cyber attack hit the Italian oil and gas services company SaipemSecurity Affairs
- Threat Spotlight: Disttrack Malware (blackberry.com)
- New Version of Disk-Wiping Shamoon/Disttrack Spotted: What You Need to Know - Security News - Trend Micro HK-EN
- Shamoon, Software S0140 | MITRE ATT&CK®
- Shamoon 2: Return of the Disttrack Wiper (paloaltonetworks.com)
- Shamoon Disk-Wiping Malware Re-Emerges with a Third Variant (bleepingcomputer.com)