محققان امنیتی به تازگی بررسی‌های جدیدی را بر روی بدافزار شیمون۲ انجام داده و سرنخ‌های جدیدی از ابزارها و روش‌های مورد استفاده توسط این گروه را کشف کرده‌اند.

بدافزار شیمون۲ تقریباً از آبان ماه سال جاری پدیدار شده درحالی‌که نسخه‌ی اصلی بدافزار شیمون، ۴ سال است که وجود دارد و در حملاتی گسترده شرکت نفت و گاز آرامکو در عربستان سعودی را هدف قرار داده بود. مشابه بدافزار اصلی، نسخه‌ی به‌روزرسانی‌شده‌ی شیمون۲ نیز با حذف رکوردهای بوت اصلی و داده‌ها، سامانه‌های هدف را تخریب می‌کند. گزارش‌ها حاکی از آن است که شیمون۲ علاوه بر سازمان‌های پتروشیمی، بانک‌های مرکزی را نیز در عربستان سعودی هدف قرار داده است.

تا هفته‌ی قبل محققان امنیتی به‌دنبال پاسخ این سؤال بودند که چگونه بدافزار شیمون۲ سامانه‌های هدف و زیرساخت‌ها را آلوده می‌کند. در حال حاضر به لطف بررسی‌هایی که محققان و کارشناسان امنیتی انجام داده‌اند، به این سؤال پاسخ داده شده است. یک کارشناس امنیتی با نام نیل دنیز، در وبلاگ خود راجع‌به این تحقیق نوشت: «ما امیدوار بودیم با کشف نشانه‌ها و بررسی بر روی شیمون۲ بتوانیم روند آلودگی به این بدافزار را تشخیص دهیم و از وقوع آن پیشگیری کنیم.» هفته‌ی گذشته X-Force آی‌بی‌ام گزارش داد که چگونه سامانه‌های قربانی به بدافزار شیمون۲ آلوده می‎شوند.

در این گزارش گفته شده در مراحل اولیه‌ی آلودگی از اسنادی که حاوی ماکروهای مخرب هستند استفاده می‌شود. رایانامه‌ای که برای قربانیان ارسال می‌شود، حاوی سندی با ماکروهای مخرب است. زمانی که این سند اجرا می‌شود، از طریق پاورشِل با کارگزار دستور و کنترل ارتباط برقرار خواهد شد. مهاجمان در ادامه بدافزار شیمون۲ را بارگیری و نصب می‌کنند. محققان با بررسی ۳ نمونه از بدافزار، توانستند آن را به دامنه‌های مخرب، آدرس‌های IP و منابع وابسته به این بدافزار ردیابی کنند.

محققان می‌گویند در بررسی‌های خود متوجه شدند بدافزار شیمون۲ با گروه‌های نفوذی مانند Magic Hound و PuppyRAT که توسط دولت‌هایی در خاورمیانه پشتیبانی می‌شوند، در ارتباط است. دنیز در پست خود گفته است: «در حال حاضر ما می‌توانیم با اطمینان بگوییم که چه‌کسی پشت بدافزار شیمون۲ است و این بدافزار چگونه کار می‌کند.»

سرنخ دیگری که وجود دارد یک پرونده با نام sloo.exe که بدافزار شیمون۲ آن را بر روی سامانه‌ی هدف در پوشه‌ی Temp قرار داده است. دنیز در توضیحات فنی درباره‌ی پژوهش خود نوشت: «این پرونده در مسیرهای C:\Documents و Settings\Admin\Local Settings\Temp\sloo.exe ایجاد شده است. علاوه بر این پرونده، بدافزار با استفاده از پاورشِل به آدرس ۱۰۴.۲۳۸.۱۸۴.۲۵۲ متصل می‌شود.»

با بررسی‌های بیشتر بر روی آدرس‌های IP پاورشِل در این بدافزار، مشخص شد یک پویش جعل گواهی‌نامه نیز وجود دارد که اولین بار بر روی دامنه‌ی go-microstf[.]com برای جعل صفحه‌ی ورود در سرویس تجزیه و تحلیل گوگل مورد استفاده قرار می‌گرفت. دنیز می‌گوید این پویش جعل گواهی‌نامه تا اواخر ژانویه که حملات شیمون۲ ادامه داشت، مشاهده شده بود.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

سرنخ‌های جدیدی از بدافزار شیمون۲ کشف شد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *