Da Shamoon a StoneDrill

I wiper all’attacco di organizzazioni saudite, e non solo

Contenuti

 Download full report

A partire dal mese di novembre 2016, Kaspersky Lab ha osservato una nuova ondata di attacchi wiper, diretti a molteplici target situati in Medio Oriente. Il malware utilizzato per i nuovi attacchi è risultato essere una variante del famigerato worm Shamoon, che, nel 2012, aveva preso di mira Saudi Aramco e RasGas.

In stato di quiescenza per ben quattro anni, uno dei wiper più misteriosi della storia del malware è ora tornato alla ribalta.

Finora, sono state da noi rilevate tre distinte ondate di attacchi, da parte del malware Shamoon 2.0, attivatesi, rispettivamente, il 17 novembre 2016, il 29 novembre 2016 ed il 23 gennaio 2017.

Ugualmente conosciuta come Disttrack, Shamoon è una famiglia di malware con alto potere distruttivo, in grado di cancellare, con particolare efficacia, i dati custoditi sui computer-vittima. Un gruppo noto con l’appellativo di Cutting Sword of Justice aveva a suo tempo rivendicato l’attacco informatico portato nei confronti di Saudi Aramco, postando un messaggio su Pastebin il giorno stesso dell’attacco (nell’anno 2012), ed aveva giustificato tale assalto come una misura intrapresa contro la monarchia saudita.

Gli attacchi Shamoon 2.0 visti nel novembre 2016 hanno bersagliato organizzazioni operanti in vari settori cruciali e vari settori economici dell’Arabia Saudita. Proprio come la variante precedente, il wiper Shamoon 2.0 si prefigge la “distruzione di massa” dei sistemi informatici allestiti in seno alle organizzazioni da esso compromesse.

I nuovi attacchi evidenziano numerose similarità con l’analoga ondata di assalti che ha avuto luogo nel 2012, ma sono comunque caratterizzati, adesso, dall’impiego di nuovi tool e nuove tecniche. Durante la prima fase, gli attacker ottengono le credenziali di amministratore del network di cui dispone la vittima. In seguito, essi creano un programma wiper “personalizzato” (Shamoon 2.0), che sfrutta tali credenziali per diffondersi ampiamente all’interno dell’organizzazione. Infine, in una data predefinita, il wiper si attiva, rendendo le macchine infette del tutto inutilizzabili. Occorre rilevare, nella circostanza, come le fasi finali degli attacchi in questione siano completamente automatizzate, senza che si riveli necessaria, quindi, alcuna comunicazione con il centro di comando e controllo.

Nel condurre le indagini riguardo agli attacchi Shamoon 2.0, Kaspersky Lab ha ugualmente scoperto un malware di tipo wiper in precedenza sconosciuto, che sembra prendere di mira organizzazioni situate sul territorio dell’Arabia Saudita. Questo nuovo wiper è stato da noi battezzato con il nome di StoneDrill. StoneDrill evidenzia diverse analogie di “stile” con Shamoon, e presenta molteplici tecniche e fattori di particolare interesse, appositamente implementati per cercare di eludere in maniera ancor più efficace il possibile rilevamento. Oltre ai presunti obiettivi sauditi, è stata osservata una vittima di StoneDrill anche in Europa, nell’ambito del Kaspersky Security Network (KSN). Questo ci induce a ritenere che il threat actor che si cela dietro al malware StoneDrill stia di fatto estendendo le proprie operazioni di “wiping” dal Medio Oriente all’Europa.

Ma riassumiamo, qui di seguito, alcune specifiche caratteristiche dei nuovi attacchi wiper, sia riguardo a Shamoon che a StoneDrill:

  • Shamoon 2.0 include un modulo ransomware pienamente funzionale, oltre alla consueta funzionalità di wiping (cancellazione dei dati).
  • Shamoon 2.0 presenta componenti sia a 32 bit che a 64 bit.
  • I sample del malware Shamoon da noi analizzati nel mese di gennaio 2017 non implementano alcuna comunicazione di comando e controllo (C&C); quelli precedenti, invece, includevano una funzionalità C&C di base, che faceva riferimento ai server locali, presenti nella rete informatica della vittima.
  • StoneDrill fa ampio uso di tecniche di elusione, al fine di evitare l’esecuzione nella sandbox.
  • Mentre Shamoon incorpora sezioni linguistiche riservate a specifiche risorse arabo-yemenite, StoneDrill ingloba, principalmente, sezioni linguistiche “dedicate” al persiano. Naturalmente, non escludiamo la possibilità di eventuali false flag.
  • StoneDrill non fa uso di driver durante il processo di installazione (a differenza di Shamoon), ma si basa sull’iniezione a livello di memoria del modulo wiper all’interno del browser preferito della vittima.
  • Esistono numerose somiglianze tra Shamoon e StoneDrill.
  • Sono state individuate molteplici similarità tra StoneDrill e gli attacchi NewsBeef, precedentemente analizzati.

Stiamo a tal proposito rilasciando un report tecnico completo che fornisce nuovi dettagliati elementi riguardo agli attacchi Shamoon 2.0 e StoneDrill, incluso:

  1. Le tecniche e le strategie da noi utilizzate per scoprire Shamoon e StoneDrill.
  2. Dettagli sulla funzionalità ransomware rilevata in Shamoon 2.0. Tale funzionalità risulta attualmente inattiva, ma potrebbe essere utilizzata per la conduzione di futuri attacchi.
  3. Dettagli sulle funzioni recentemente individuate nel malware StoneDrill, compreso le temibili capacità distruttive di quest’ultimo (persino con privilegi di utente limitati).
  4. Dettagli sulle similarità esistenti tra gli stili di malware ed il codice sorgente dei componenti malware individuati in Shamoon, StoneDrill e NewsBeef.

La nostra scoperta di StoneDrill conferisce un’altra dimensione all’ondata di attacchi wiper attualmente in corso nei confronti di organizzazioni saudite, ondata che ha avuto inizio, con Shamoon 2.0, nel mese di novembre 2016. Se effettuiamo un debito confronto con le nuove varianti di Shamoon 2.0, la differenza più significativa che emerge è indubbiamente rappresentata dalla mancanza di un disk driver utilizzato per l’accesso diretto durante la fase distruttiva. Tuttavia, non vi è necessariamente bisogno di disporre di un accesso al disco raw per svolgere funzioni distruttive a livello di file, che il malware implementa peraltro con successo.

Qui, naturalmente, una delle questioni di maggiore importanza è costituita dal collegamento tra Shamoon e StoneDrill. Entrambi i wiper sembrano essere stati utilizzati contro organizzazioni saudite durante un periodo di tempo similare, nei mesi di ottobre-novembre 2016. Nella circostanza, appaiono possibili varie teorie:

  • StoneDrill è uno strumento wiper di minore utilizzo, dispiegato in certe situazioni dallo stesso gruppo Shamoon.
  • StoneDrill e Shamoon vengono utilizzati da gruppi diversi, i cui interessi sono tuttavia allineati.
  • StoneDrill e Shamoon vengono utilizzati da due gruppi distinti, che non hanno alcun collegamento tra di loro, e si verifica semplicemente il fatto che i due gruppi prendono di mira contemporaneamente organizzazioni saudite.

Considerando tutti i fattori sinora emersi, riteniamo che la teoria più plausibile sia la seconda.

Inoltre, StoneDrill sembra essere collegato con le attività del gruppo NewsBeef, di cui abbiamo riferito in precedenza (LINK TO https://securelist.com/blog/software/74503/freezer-paper-around-free-meat/), il quale continua a bersagliare organizzazioni situate in Arabia Saudita. Da questo punto di vista, NewsBeef e StoneDrill sembrano essere continuamente focalizzati sul prendere di mira interessi sauditi, mentre Shamoon, da parte sua, è uno strumento di elevato impatto, piuttosto appariscente, i cui obiettivi, in genere, mutano secondo le specifiche circostanze.

In termini di attribuzione, mentre Shamoon incorpora sezioni linguistiche relative a risorse arabo-yemenite, StoneDrill comprende, prevalentemente, sezioni riservate alla lingua persiana. Gli analisti di geopolitica sarebbero forse pronti a rimarcare subito il fatto che Iran e Yemen sono entrambi attori di rilievo nel conflitto per procura tra Iran ed Arabia Saudita. Naturalmente, non escludiamo la possibilità di eventuali false flag.

Rimangono, infine, riguardo a StoneDrill e NewsBeef, molte domande che non hanno ancora trovato una precisa risposta. L’aver scoperto la presenza del wiper StoneDrill in Europa indica in maniera significativa come tale gruppo stia di fatto estendendo i propri attacchi distruttivi al di fuori del Medio Oriente. Nella fattispecie, il target dell’attacco sembra essere una grande corporation con una vasta area di attività nel settore petrolchimico, e senza apparenti collegamenti o interessi in Arabia Saudita.

Da parte nostra, continueremo a monitorare, come al solito, gli attacchi Shamoon, StoneDrill e NewsBeef.

Nel corso della Conferenza Kaspersky Security Analyst Summit, che si svolgerà dal 2 al 6 aprile 2017, verrà tra l’altro effettuata una presentazione del nuovo wiper StoneDrill.

I prodotti Kaspersky Lab rilevano i sample di Shamoon e StoneDrill come:

Trojan.Win32.EraseMBR.a
Trojan.Win32.Shamoon.a
Trojan.Win64.Shamoon.a
Trojan.Win64.Shamoon.b
Backdoor.Win32.RemoteConnection.d
Trojan.Win32.Inject.wmyv
Trojan.Win32.Inject.wmyt
HEUR:Trojan.Win32.Generic

Indicatori di Compromissione

MD5 di Shamoon

00c417425a73db5a315d23fac8cb353f
271554cff73c3843b9282951f2ea7509
2cd0a5f1e9bcce6807e57ec8477d222a
33a63f09e0962313285c0f0fb654ae11
38f3bed2635857dc385c5d569bbc88ac
41f8cd9ac3fb6b1771177e5770537518
5446f46d89124462ae7aca4fce420423
548f6b23799f9265c01feefc6d86a5d3
63443027d7b30ef0582778f1c11f36f3
6a7bff614a1c2fd2901a5bd1d878be59
6bebb161bc45080200a204f0a1d6fc08
7772ce23c23f28596145656855fd02fc
7946788b175e299415ad9059da03b1b2
7edd88dd4511a7d5bcb91f2ff177d29d
7f399a3362c4a33b5a58e94b8631a3d5
8405aa3d86a22301ae62057d818b6b68
8712cea8b5e3ce0073330fd425d34416
8fbe990c2d493f58a2afa2b746e49c86
940cee0d5985960b4ed265a859a7c169
9d40d04d64f26a30da893b7a30da04eb
aae531a922d9cca9ddca3d98be09f9df
ac8636b6ad8f946e1d756cd4b1ed866d
af053352fe1a02ba8010ec7524670ed9
b4ddab362a20578dc6ca0bc8cc8ab986
baa9862b027abd61b3e19941e40b1b2d
c843046e54b755ec63ccb09d0a689674
d30cfa003ebfcd4d7c659a73a8dce11e
da3d900f8b090c705e8256e1193a18ec
dc79867623b7929fd055d94456be8ba0
ec010868e3e4c47239bf720738e058e3
efab909e4d089b8f5a73e0b363f471c1

MD5 di StoneDrill

ac3c25534c076623192b9381f926ba0d
0ccc9ec82f1d44c243329014b82d3125
8e67f4c98754a2373a49eaf53425d79a
fb21f3cea1aa051ba2a45e75d46b98b8

C2 di StoneDrill

www.eservic[.]com
www.securityupdated[.]com
www.actdire[.]com
www.chromup[.]com

C2 di NewsBeef

www.chrome-up[.]date
service1.chrome-up[.]date
service.chrome-up[.]date
webmaster.serveirc[.]com

 Download full report

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *