Nieuwe bevindingen die vorige week zijn vrijgegeven, tonen de overlappende broncode en technieken tussen de operators van Shamoon en Kwampirswat aangeeft dat ze “dezelfde groep zijn of echt hechte medewerkers” zijn.
“Onderzoeksbewijs toont identificatie van co-evolutie tussen zowel Shamoon- als Kwampirs-malwarefamilies tijdens de bekende tijdlijn”, Pablo Rincón Crespo van Cylera Labs zei.
“Als Kwampirs is gebaseerd op de originele Shamoon en de campagnecode van Shamoon 2 en 3 is gebaseerd op Kwampirs, […] dan zouden de auteurs van Kwampirs mogelijk dezelfde zijn als de auteurs van Shamoon, of moeten ze een zeer sterke relatie hebben, zoals in de loop van vele jaren is gebleken”, voegde Rincón Crespo eraan toe.
Shamoon, ook bekend als DistTrack, functioneert als een informatie-stelende malware die ook een destructief onderdeel bevat waarmee het de Master Boot Record (MBR) kan overschrijven met willekeurige gegevens om de geïnfecteerde machine onbruikbaar te maken.
De malware, ontwikkeld door de gelijknamige hackploeg, ook gevolgd als Magic Hound, Timberworm, COBALT GIPSY, werd eerst gedocumenteerd door Symantec, eigendom van Broadcom in augustus 2012. Sindsdien zijn er ten minste twee bijgewerkte versies van Shamoon verschenen, Shamoon 2 in 2016 en Shamoon 3 in 2018.
In juli 2021 heeft de Amerikaanse regering toegeschreven aan Shamoon als het handwerk van Door de Iraanse staat gesponsorde acteursgekoppeld aan cyberoffensieven gericht op industriële controlesystemen.
Aan de andere kant, aanvalsactiviteit waarbij de Kwampirs achterdeur is verbonden met een bedreigingsgroep die bekend staat als Orangeworm, waarbij Symantec een inbraakcampagne bekendmaakte die gericht was op entiteiten in de gezondheidszorgsector in de VS, Europa en Azië.
 |
| “Kwampirs nieuwe campagneopbouwproces” uitgelegd door Cylera |
“Orangeworm werd voor het eerst geïdentificeerd in januari 2015 en heeft ook gerichte aanvallen uitgevoerd op organisaties in verwante sectoren als onderdeel van een grotere aanval op de toeleveringsketen om de beoogde slachtoffers te bereiken”, zegt Symantec. zei in een analyse in april 2018.
Het blootleggen van de verbinding door Cylera Labs komt voort uit malware-artefacten en voorheen onopgemerkte componenten, waarvan er één een tussenliggende “opstap”-versie zou zijn. Het is een Shamoon-druppelaar maar zonder de wiper-functie, terwijl tegelijkertijd dezelfde loadercode wordt hergebruikt als Kwampirs.
Bovendien zijn er overeenkomsten op codeniveau ontdekt tussen Kwampirs en latere versies van Shamoon. Dit omvat de functionaliteit om metadata van het systeem op te halen, het MAC-adres op te halen en de informatie over de toetsenbordindeling van het slachtoffer, evenals het gebruik van dezelfde InternetOpenW Windows API om HTTP-verzoeken naar de command-and-control (C2) -server te maken.
 |
| “Shamoon 2 Nieuw campagneopbouwproces” uitgelegd door Cylera |
Er wordt ook een algemeen sjabloonsysteem gebruikt om de rapporteringsmodule te maken met mogelijkheden om hostinformatie te uploaden en extra payloads te downloaden om uit te voeren vanaf hun C2-servers, een functie die ontbrak in de eerste versie van Shamoon.
Door de verschillende punten met elkaar te verbinden, heeft het onderzoek geleid tot de beoordeling dat Kwampirs waarschijnlijk is gebaseerd op Shamoon 1 en dat Shamoon 2 een deel van zijn code van Kwampirs heeft geërfd, wat impliceert dat de exploitanten van beide malware verschillende subgroepen zijn van een grotere paraplu groepen of dat het het werk is van een enkele acteur.
Een dergelijke claim is niet zonder voorrang. Vorige week heeft Cisco Talos de TTP’s van een andere Iraanse acteur, MuddyWater genaamd, gedetailleerd beschreven, waarbij hij opmerkte dat de natiestaatactoren een “conglomeraat” is van meerdere teams die onafhankelijk opereren in plaats van een enkele groep bedreigingsactoren.
“Deze conclusies, als ze inderdaad correct zijn, zouden Kwampirs herschikken als een grootschalige, meerjarige aanval op wereldwijde toeleveringsketens voor de gezondheidszorg, uitgevoerd door een buitenlandse staatsspeler”, concludeerden de onderzoekers.
“De gegevens die in deze campagnes worden verzameld en de systemen waartoe toegang wordt verkregen, hebben een breed scala aan mogelijke toepassingen, waaronder diefstal van intellectueel eigendom, het verzamelen van medische dossiers van doelen zoals dissidenten of militaire leiders, of verkenning om te helpen bij het plannen van toekomstige destructieve aanvallen.”
