포스팅 내용

국내외 보안동향

데이터 파괴형 악성코드인 Shamoon, 두 가지 변종으로 돌아와

Shamoon Disk-Wiping Malware Re-emerges with Two New Variants


데이터 파괴형 악성코드인 Shamoon의 샘플 2개가 실제 공격에서 발견 되었습니다. 이는 Shamoon이 활동을 중지한지 약 2년만입니다.


Shamoon은 2012년 사우디의 아람코(Aramco) 석유 생산 회사를 노린 공격에서 처음 발견되었습니다. 당시 이 악성코드는 아람코의 컴퓨터 시스템 35,000대 이상의 데이터를 삭제했습니다.


4년 후, 이는 2017년 1월까지 지속 된 동일한 지역의 민간 조직을 노린 공격에서 또 다시 발견 되었습니다.


이전 트리거 날짜가 포함 된 샘플


구글의 모회사인 Alphabet Inc.의 Chronicle 연구팀이 Bleeping Computer에 보낸 보고서에 따르면, 이 새로운 변종은 지난 12월 10일 이탈리아에서 바이러스 토털에 업로드 되었습니다.


현재 조사 중인 Shamoon의 변종 중 하나에는 트리거 날짜 및 로컬 시간이 2017년 12월 7일 23:51로 기록되어 있었습니다. 이 시점은 악성코드가 바이러스 토털에 올라오기 약 1년전입니다.


“이 때문에, 이 샘플이 작년에 사용 되었는지 또는 공격자들이 파괴적인 작업을 즉시 시작하기 위해 의도적으로 트리거 날짜를 과거로 입력한 것인지는 알 수 없습니다.”


이 연구원들이 분석한 또 다른 요소는 샘플에 존재하는 크리덴셜 리스트입니다. 하지만 여기에서는 특정 타겟과의 연결을 증명할 수 있는 충분한 증거를 찾을 수 없었습니다.


Chronicle은 악성코드 샘플을 특정 공격과 연결시킬 수 있는 증거를 찾을 수 없었으며 이 악성코드의 제작자가 누구인지, 바이러스 토털에 업로드 한 사람이 누구인지 확신할 수 없었다고 밝혔습니다.



이탈리아 회사, 최근 사이버 공격의 배후에 Shamoon이 있다고 주장해


그러나 이번 주, 이탈리아의 석유 서비스 제공 업체인 사이펨(Saipem)이 사이버 공격을 받았다는 뉴스가 있었습니다. 이 사고는 지난 월요일 발생했으며 중동, 인도, 스코틀랜드(애버딘) 및 이탈리아에 있는 회사 서버 300대 이상에 영향을 미쳤습니다.


샘플들 중 하나는 사이펨 측에서 회사에 영향을 미친 악성코드를 파악할 목적으로 업로드했을 가능성이 있습니다.


사이펨은 지난 수요일 공격자가 Shamoon의 변종을 공격에 이용했으며, 이 공격으로 인해 데이터 및 인프라가 중단 되었다고 밝혔습니다.


회사는 백업 인프라를 통해 점차적으로 활동을 회복하기 위해 노력 중이라 밝혔습니다.



출처 : 

https://www.bleepingcomputer.com/news/security/shamoon-disk-wiping-malware-re-emerges-with-two-new-variants/



티스토리 방명록 작성
name password homepage