Shamoon V3 악성코드의 두 번째 샘플 발견 돼

A second sample of the Shamoon V3 wiper analyzed by the experts

데이터 파괴형 악성코드인 Shamoon의 두 번째 샘플이 지난 12월 13일 네덜란드에서 바이러스 토털에 업로드 되었습니다.

지난 주, Chronicle의 보안 전문가들은 악명 높은 Shamoon 악성코드의 새로운 변종의 발견을 발표했습니다. 이 샘플은 이탈리아에서 바이러스 토털에 업로드 되었습니다. 이탈리아의 석유 서비스 회사인 사이펨(Saipem)이 사이버 공격을 받고있었던 시점이었습니다. 사이펨의 서버 300대 이상이 Shamoon에 감염 되었습니다.

그리고 보안 연구원들은 이 공격이 처음 생각했던 것 보다 더욱 규모가 큰 것으로 추측할 수 있는 새로운 Shamoon 변종의 샘플을 발견했습니다. 

두 번째 샘플은 네덜란드에서 12월 13일 바이러스 토털에 업로드 되었습니다.

Anomali Labs의 연구원들은 이 샘플이 Chronicle 측에서 발견한 샘플과는 다른 것을 확인했다고 밝혔습니다.

트리거 날짜는 과거로 설정 되어 있긴 하지만, 이전 샘플의 트리거 날짜보다 5일 후인 2017년 12월 12일로 설정 되어 있었습니다. 트리거 날짜가 과거로 설정 된 이유는 타겟 시스템에서 즉시 실행되도록 하기 위함으로 추측 됩니다.

이 트리거 날짜는 C2에서 받아올 수도 있지만 연구원들은 C&C 서버에 대한 정보를 언급하지 않았습니다.

연구원들은 “이 악성코드가 이란의 APT 그룹의 작품인 것으로 확인 되지는 않았지만 악성 코드의 코드베이스, 타겟 분야, 타겟 위치 등이 모두 이란의 공격자들이 실행한 이전 공격에서 관찰 된 것과 동일했습니다.”고 밝혔습니다.

새롭게 발견 된 이 샘플은 악성코드의 서명을 변조해 탐지를 어렵게 하기 위해 UPX 패킹이 되어있는 상태였습니다.

새로운 Shamoon 변종은 정식 소프트웨어 제품을 미끼로 사용하여 사용자들을 속이기 위해 파일 설명에 “VMWare Workstation”을 사용했습니다.

연구원들은 “이 샘플을 현재 활성화 된 사이버 공격과 연관시키지는 않았지만, 분석가들은 Shamoon V3 캠페인의 일부인 추가 타겟을 나타내는 것으로 추측 된다.”고 결론지었습니다.

알약에서는 해당악성코드에 대해  Trojan.Agent.Shamoon로 탐지중에 있습니다. 

출처 : 

https://securityaffairs.co/wordpress/78976/malware/shamoon-v3-second-sample.html

https://www.anomali.com/blog/new-shamoon-v3-malware-targets-oil-and-gas-sector-in-the-middle-east-and-europe