Ruthless Malware đã sống lại và trở thành sát thủ của máy ảo

Các nhà nghiên cứu bảo mật tại Palo Alto Networks đã phát hiện hai phiên bản của một phần mềm độc hại tương tự như Shamoon đã tấn công 35.000 máy tại Aramco Saudi vào năm 2011. Phiên bản mới nhất của nó được gọi là Second Shamoon 2, được phát hiện vào tháng 11/2016. Nó được biết như là phần mềm gián điệp không gian mạng và làm hỏng máy ảo trên mạng đích.

Ruthless Malware đã sống lại và trở thành sát thủ của máy ảo

Phần mềm độc hại Shamoon khét tiếng (hay còn gọi là Disttrack) nổi tiếng với kỹ năng gián điệp mạng của nó đã trở lại. Và bây giờ là tiến bộ hơn trước, với khả năng của mình trong việc hạ gục máy ảo.

Shamoon có khả năng lây lan trên mạng nội bộ. Nó chiếm quyền tạm thời để thiết lập một danh sách các tập tin từ các địa điểm cụ thể trên máy tính và gửi nó cho người tấn công trước khi xóa chúng. Nó có thể ghi đè lên MBR làm cho máy không thể tiếp cận.

Hệ thống không thể tìm thấy hệ điều hành sau khi MBR thay đổi | Palo Alto Networks
Hệ thống không thể tìm thấy hệ điều hành sau khi MBR thay đổi | Palo Alto Networks

Shamoon đầu tiên xuất hiện vào năm 2012 khi nó được sử dụng để tấn công một công ty dầu khí Saudi Aramco có trụ sở tại Ả-rập Xê-út, ảnh hưởng đến 35.000 máy. Phải mất thời gian gần một tuần để có được những chiếc máy hoạt động trở lại. Vào khoản tháng mười 11/2016, khi một thể hiện mới của các phần mềm độc hại Shamoon, mệnh danh là “Shamoon 2” được đưa ra ánh sáng. Nó được sử dụng để tấn công một công ty Ả Rập Saudi dựa trên và được thiết lập để xóa sạch các hệ thống vào ngày 17/11.

Một payload tương tự gọi là ‘Second Shamoon 2’ đã được phát hiện lần nữa trong tháng 11 của các nhà nghiên cứu bảo mật tại Palo Alto Networks, và nó cũng đã được nhắm mục tiêu ở Ả Rập Saudi. Các nhà nghiên cứu lưu ý rằng phần mềm độc hại Second Shamoon 2 chứa thông tin tài khoản hardcoded liên quan đến nạn nhân. Một hành vi không được quan sát đối với trường hợp Shamoon 2 trước đó.

Thực tế là những thông tin người dùng thực hiện theo yêu cầu mật khẩu phức tạp của Windows làm cho các nhà nghiên cứu cho rằng sự tồn tại không rõ nguyên nhân của cuộc tấn công, tương tự như vậy ngày 17/11, nó được sử dụng để thu thập các tên người dùng và mật khẩu cho các cuộc tấn công mới nhất.

Ngoài ra, quá trình cập nhật Shamoon bao gồm các thông tin tài khoản quản trị người sử dụng – một phần của các tài liệu chính thức – cho các sản phẩm ảo hóa desktop của Huawei, như FusionCloud, được sử dụng để tạo ra một Virtual Desktop Interface (VDI). Các hệ thống ảo được biết là cung cấp bảo vệ chống lại phần mềm độc hại như Shamoon bằng cách tạo Virtual Desktop Interface Snapshots – sao lưu được thực hiện trước khi máy đang bị xóa sạch.

Các thông tin có thể đã được sử dụng bởi các tổ chức mục tiêu để thiết lập hệ thống Huawei VDI của họ. Những kẻ tấn công có thể bao gồm chúng để tăng cường độ tấn công bằng cách vô hiệu hóa bảo vệ của máy ảo.Không thể nói nếu những kẻ tấn công bắt đầu một cuộc tấn công trước đó để có được những thông tin hoặc những đã bổ sung khả năng dò đoán mật khẩu.

Hơn nữa, các nhà nghiên cứu không nhận thức được môi trường sử dụng để phát tán phần mềm độc hại đã được lên kế hoạch để xóa sạch các hệ thống vào lúc 1:30 sáng ngày 29/11 giờ địa phương tại Ả Rập Saudi. Tại thời điểm đó, nó hầu như không có khả năng là nhân viên đã có mặt trong tổ chức, qua đó, tăng thời gian phát hiện và tiến hành đối với bất kỳ biện pháp đối phó.

Tham khảo thêm tại: http://researchcenter.paloaltonetworks.com/2017/01/unit42-second-wave-shamoon-2-attacks-identified/

fossbytes