IBM X-Force 事件響應與情報服務(IRIS)團隊：臭名昭著的磁盤清除惡意軟件Shamoon，利用啟用宏的文檔和PowerShell腳本感染目標系統。

[[184895]]

最近，針對沙特阿拉伯和其他波斯灣國家的攻擊中，發現了Shamoon 2的身影。該惡意軟件還有另一個名稱——Disttrack，其變種很多，包括一款能夠攻擊虛擬桌面基礎架構(VDI)產品的。

賽門鐵克近期進行的一份分析顯示：Shamoon背后的攻擊者，也就是很多人認為的伊朗黑客，可能有昵稱為Greenbug的黑帽子相助。賽門鐵克在同一系統中發現這兩個惡意軟件的存在后，將Greenbug和Shamoon聯系了在一起。

X-Force IRIS 研究人員分析了最近一波的Shamoon攻擊，確認最初的泄露可能在該惡意軟件部署并激活前數周就已發生。

需要指出的是，很多案例中，Shamoon都被編程為在特定的日期和時間發動，尤其是在目標公司的員工不太可能注意到其活動的時候。

專家認為，攻擊者采用武器化Office文檔作為入口點。這些文檔包含有惡意宏，一旦執行，就會啟動命令與控制(C&C)通信，并通過PowerShell建立遠程Shell。

這些惡意文件通常包含有簡歷和其他人力資源文檔，通過漁叉式網絡釣魚郵件發送給目標用戶。IBM發現的其中一些文檔提到了一家位于埃及的軟件人才服務公司——IT Worx，以及沙特阿拉伯的商務與投資部(MCI)。

文檔一被打開，就會執行宏代碼，然后啟動PowerShell建立信道，使攻擊者能夠在被感染設備上遠程執行指令。

攻擊者還能借此部署其他工具和惡意軟件，獲得對受害者網絡的進一步訪問權。一旦關鍵服務器被發現，攻擊者就可以部署Shamoon，清除硬盤數據，導致系統無法運作。

文檔中發現的宏會執行兩個PowerShell腳本，其中一個來自托管了跨平臺遠程訪問工具(RAT)Pupy的某個域名。該RAT和域名，在對名為“魔法獵犬( Magic Hound )”的伊朗相關黑客活動的分析中也有出現。

IBM研究人員相信，最近的分析和沙特阿拉伯發布的警告，有可能會讓Shamoon攻擊者再次消失，就像他們在2012年沙特阿美行動后銷聲匿跡一樣，并且為下一波攻擊修改戰術。