Los nuevos hallazgos publicados la semana pasada muestran el código fuente y las técnicas superpuestas entre los operadores de Shamoon y Kwampiresindicando que «son el mismo grupo o muy cercanos colaboradores».
«La evidencia de la investigación muestra la identificación de la coevolución entre las familias de malware Shamoon y Kwampirs durante la línea de tiempo conocida», Pablo Rincón Crespo de Cylera Labs dijo.
«Si Kwampirs se basa en el Shamoon original, y el código de campaña de Shamoon 2 y 3 se basa en Kwampirs, […] entonces los autores de Kwampirs serían potencialmente los mismos autores de Shamoon, o deben tener una relación muy fuerte, como se ha visto a lo largo de muchos años”, agregó Rincón Crespo.
Shamoon, también conocido como DistTrack, funciona como un malware que roba información que también incorpora un componente destructivo que le permite sobrescribir el Master Boot Record (MBR) con datos arbitrarios para que la máquina infectada quede inoperable.
El malware, desarrollado por el equipo de piratería del mismo nombre también rastreado como Magic Hound, Timberworm, COBALT GIPSY, fue documentado por primera vez por Symantec, propiedad de Broadcom, en agosto de 2012. Desde entonces, han surgido al menos dos versiones actualizadas de Shamoon, Shamoon 2 en 2016 y Shamoon 3 en 2018.
En julio de 2021, el gobierno de EE. atribuido Shamoon como obra de Actores patrocinados por el estado iranívinculándolo a las ciberofensivas dirigidas a los sistemas de control industrial.
Por otro lado, la actividad de ataque que implica la Puerta trasera de Kwampirs se ha conectado a un grupo de amenazas conocido como Orangeworm, con Symantec revelando una campaña de intrusión dirigida a entidades del sector de la salud en los EE. UU., Europa y Asia.
 |
| «Proceso de construcción de la nueva campaña de Kwampirs» explicado por Cylera |
«Identificado por primera vez en enero de 2015, Orangeworm también ha llevado a cabo ataques dirigidos contra organizaciones en industrias relacionadas como parte de un ataque más grande a la cadena de suministro para llegar a sus víctimas previstas», Symantec dijo en un análisis en abril de 2018.
El descubrimiento de la conexión por parte de Cylera Labs proviene de artefactos de malware y componentes previamente desapercibidos, uno de los cuales se dice que es una versión intermedia de «trampolín». Es un cuentagotas de Shamoon pero sin la función de limpieza, mientras que simultáneamente reutiliza el mismo código de carga que Kwampirs.
Además, se han descubierto similitudes a nivel de código entre Kwampirs y versiones posteriores de Shamoon. Esto incluye la funcionalidad para recuperar metadatos del sistema, obtener la dirección MAC y la información de distribución del teclado de la víctima, así como el uso de la misma. InternetOpenW API de Windows para crear solicitudes HTTP al servidor de comando y control (C2).
 |
| «Shamoon 2 New Campaign Building Process» explicado por Cylera |
También se pone en uso un sistema de plantilla común para crear el módulo reportero que alberga capacidades para cargar información del host y descargar cargas útiles adicionales para ejecutar desde sus servidores C2, una característica que faltaba en la primera versión de Shamoon.
Al conectar los puntos dispares, la investigación ha llevado a la evaluación de que Kwampirs probablemente se basa en Shamoon 1 y que Shamoon 2 heredó parte de su código de Kwampirs, lo que implica que los operadores de ambos programas maliciosos son diferentes subgrupos de un paraguas más grande. grupos o que es obra de un solo actor.
Tal afirmación no carece de precedentes. La semana pasada, Cisco Talos detalló los TTP de otro actor iraní llamado MuddyWater, y señaló que el actor del estado-nación es un «conglomerado» de múltiples equipos que operan de forma independiente en lugar de un solo grupo de actores de amenazas.
«Estas conclusiones, si son correctas, reformularían a Kwampirs como un ataque a gran escala de varios años contra las cadenas mundiales de suministro de atención médica realizado por un actor estatal extranjero», concluyeron los investigadores.
«Los datos recopilados y los sistemas a los que se accede en estas campañas tienen una amplia gama de usos potenciales, incluido el robo de propiedad intelectual, la recopilación de registros médicos de objetivos como disidentes o líderes militares, o reconocimiento para ayudar en la planificación de futuros ataques destructivos».