В начале марта текущего года эксперты обнаружили киберкампанию с применением новой версии вредоносной программы Shamoon (Disttrack), направленной против организаций в Саудовской Аравии. Недавно исследователи из Palo Alto Networks опубликовали детальный отчет об активности данной вредоносной программы.
Вредоносная программа Shamoon эффективно удаляет информацию с инфицированных компьютеров. В течение 10 лет Shamoon использовалась для атак против организаций из Саудовской Аравии. В составе программы есть вредоносный компонент Disttrack, который отвечает за деструктивное поведение и распространение Shamoon по сети. Вредоносная программа Shamoon 2 задействует комбинацию легитимных утилит, в том числе инструмента PAExec, имеющего открытый исходный код, и пакетных файлов для маскировки и распространения в сети.
Как утверждают специалисты, хакеры применяют простую и одновременно эффективную методику распространения вредоносной программы Disttrack. Для получения доступа к системам целевых организаций киберпреступники пользуются не только их учетной информацией, но и локальными хостами и IP-адресами серверов внутри корпоративной сети.
Исследователи в январе 2017 года нашли zip-архив с исполняемыми, пакетными и текстовыми файлами, применяемыми для инфицирования компьютеров в сети. Хакеры пользуются украденной учетной информацией организации для доступа ко взломанной системе и посредством протокола удаленного рабочего стола осуществляют загрузку вредоносного архива на сервер. Затем злоумышленники начинают распространение Disttrack в других системах, входящих в локальную сеть, посредством списка из 256 IP-адресов и имен хостов, добытых ранее.