ایتنا- این بدافزار به وسیله کمپین‌های فیشینگ که شامل تبلیغات برای کار در شرکت‌های هواپیمایی عربستان سعودی و سازمان‌های غربی است، توزیع می‌شود.

به‌تازگی مشخص شده است گروهی از هکرها که با نام APT33 شناخته شده اند، پشت یک حمله ی سایبری بزرگ که شرکت های هوافضا، پتروشیمی و انرژی را واقع در عربستان سعودی و کره ی جنوبی آلوده کرده است، قرار گرفته اند. محققان بر این باورند که هکرهای پشت این حمله، گروهی هستند که در گذشته عربستان سعودی را مورد هدف سایبری خود قرار دادند.


به گزارش ایتنا از کسپرسکی آنلاین، بر  اساس آخرین گزارش منتشر شده در روز چهارشنبه توسط FireEye، آخرین حمله این گروه هکری به وسیله یک dropper بوده است که آن را DropShot نامیده‌اند و مدعی شده‌اند که با بدافزار  StoneDrill wiper (یک گونه نامعمول از شامون 2) در ارتباط است.

محققان گفته‌اند که این بدافزار به وسیله کمپین‌های فیشینگ که شامل تبلیغات برای کار در شرکت های هواپیمایی عربستان سعودی و سازمان‌های غربی است، توزیع می شود. آنها بر این باورند که ایمیل‌ها شامل فریب‌هایی برای استخدام هستند که هر کدام حاوی فایل‌های HTML مخرب بودند. 

محققان گفتند فایل های  .hta شامل شرح و توصیف شغل و لینک‌ها برای ارسال مشاغل مشروع در وب سایت های اشتغال محبوب بود که افراد مختلف را مورد هدف قرار داده بود. فایل  .hta بدون توجه به کاربر، دارای کدهای جاسازی شده بود که به صورت خودکار یک درب پشتی  APT33 را دانلود می کرد. لینک ها در ایمیل ها با دامنه‌های جعلی برای شرکت‌های Boeing، شرکت هواپیمایی Alsalam، Northrop Grumman Aviation Arabia و Vinnell Arabia مورد استفاده قرار می‌گرفتند. بسیاری از این قربانیان که بر روی لینک‌ها کلیک می کردند، به طور کاملا تصادفی و ناخواسته DropShot را دانلود می کردند. هدف هکرها از ثبت چندین دامنه به دام انداختن نهادها و سازمان‌های مورد هدف بوده است.

در ماه مارس،  لابراتوار کسپرسکی مقاله ای را در مورد لینک های بدافزار  StoneDrill که به یک گونه از شامون ها مرتبط می شد و توانسته بود کمپانی‌های Aramcoو Rasgas را در سال 2012 مورد هدف قرار دهد، منتشر ساخت.  stoneDrill در آن زمان برای مقابله با سازمان های عربستان سعودی مورد استفاده قرار گرفت و در نهایت سر از سازمان‌های پتروشیمی اروپا در آورد.


لابراتوار کسپرسکی در مقاله مربوطه نوشت: " stoneDrill شباهت های بسیار زیادی با شامون دارد با این فرق که در آن چندین فاکتور و تکنیک جالب برای جلوگیری از تشخیص در این گونه وجود دارد".
محققان لابراتوار کسپرسکی شباهت‌های بسیاری را بین stoneDrill و یک گروه APT که با نام های NewsBeef یا Charming Kitten برای اکسپلویت فرم ورک‌های مرورگرها پیدا کردند. اما لابراتوار کسپرسکی و FireEye هر دو بر این باور هستند که گروه‌هایی که پشت حملات شامون و StoneDrill هستند، هردو یکسان هستند و  این حملات هماهنگ شده توسط افراد مشترک بودند.
تیم های امنیتی اظهار دارند که APT33 از سال 2013 تاکنون در حال فعالیت‌های جاسوسی است و هکرهای پشت این حمله برای دولت‌ها فعالیت می‌کنند.

محققان امنیتی  FireEye  در گزارشی نوشته‌اند: " به تازگی در می ماه سال 2017، APT33 یک سازمان عربستان سعودی و یک کمپانی تجاری در کره جنوبی را با استفاده از یک فایل مخرب که در تلاش است تا کاربران را برای یک شغل مناسب در یک شرکت پتروشیمی عربستان به دام بیاندازد، مورد هدف قرار داده است".

طبق گزارش‌های متعدد از محققان امنیتی، هدف اصلی این حملات افزایش توانایی‌های هوانوردی ، جمع آوری اطلاعات نظامی عربستان  و کمک به شرکت‌های پتروشیمی و منفعت کشوری که حمله را به راه انداخته است، بوده است.
طبق گزارش FireEye: "ما بدافزار APT33 را با گروهی که پشت این حمله بودند شناسایی کردیم. اینطور که مشخص است این بدافزار توسط دولت‌هایی برای انجام فعالیت‌های تهدید آمیز علیه دشمنانش ایجاد شده است".