研究人员发现新证据表明Kwampirs恶意软件与Shamoon APT黑客有关

上周发布的新发现展示了Shamoon和Kwampirs运营商之间重叠的源代码和技术，表明他们“是同一个群体或真正密切的合作者”

Cylera实验室的Pablo Rincón Crespo说：“研究证据表明，在已知的时间线内，Shamoon和Kwampirs恶意软件家族之间存在协同进化”。

“如果Kwampirs基于原始Shamoon，Shamoon 2和3的活动代码基于Kwampirs，然后，《夸米尔》的作者可能与《沙蒙》的作者相同，或者必须有非常牢固的关系，这在多年的过程中已经被看到，”林科恩·克雷斯波补充道。

Shamoon（也称为Distrack）是一种窃取信息的恶意软件，它还包含一个破坏性组件，允许它用任意数据覆盖主引导记录（MBR），从而使受感染的机器无法运行。

2012年8月，博通旗下的赛门铁克（Symantec）首次记录了该恶意软件，该软件由同名黑客团队开发，并被追踪为Magic Hound、Timberorm、COBALT GIPSY。此后，至少出现了两个更新版本的Shamoon，2016年的Shamoon 2和2018年的Shamoon 3。

2021年7月，美国政府将Shamoon归咎于伊朗国家赞助的演员，将其链接到以工业控制系统为目标的网络攻击。

另一方面，涉及Kwanpirs后门的攻击活动与一个名为Orangeworm的威胁组织有关，赛门铁克披露了一项针对美国、欧洲和亚洲医疗行业实体的入侵活动。

Cylera解释的“Kwanpirs新战役建设流程”

赛门铁克在2018年4月的一份分析报告中称，“橙狼于2015年1月首次被发现，作为更大规模供应链攻击的一部分，橙狼还对相关行业的组织进行了有针对性的攻击，以达到其目标受害者”。

Cylera实验室发现的连接源于恶意软件工件和之前未被注意到的组件，其中一个据说是中间的“垫脚石”版本。它是一个Shamoon滴管，但没有雨刷功能，同时重复使用与Kwampirs相同的加载程序代码。

此外，Kwampirs和Shamoon的后续版本之间的代码级相似性也被发现。这包括检索系统元数据、获取MAC地址和受害者键盘布局信息的功能，以及使用相同的InternetOpenW Windows API向指挥与控制（C2）服务器发送HTTP请求的功能。

赛拉解释“萨蒙2新战役建设流程”

还使用了一个通用模板系统来创建reporter模块，该模块具有上传主机信息和下载额外有效载荷以从其C2服务器执行的功能，这一功能在Shamoon的第一个版本中缺失。

通过将这些不同的点联系起来，调查得出的评估是，Kwampirs很可能基于Shamoon 1，而Shamoon 2从Kwampirs继承了一些代码，这意味着这两个恶意软件的操作人员是一个更大的伞型组的不同子组，或者这是一个参与者的工作。

这种主张并非没有优先权。就在上周，Cisco Talos详细介绍了另一个名为MuddyWater的伊朗参与者的TTP，指出这个民族国家参与者是由多个独立运作的团队组成的“联合体”，而不是一个单一的威胁参与者群体。

研究人员得出结论：“如果这些结论确实正确，将把Kwampirs重新定义为一个外国国家行为者对全球医疗供应链进行的大规模、多年的攻击”。

“在这些战役中收集的数据和访问的系统有着广泛的潜在用途，包括盗窃知识产权、收集异见人士或军事领导人等目标的医疗记录，或进行侦察以帮助规划未来的破坏性攻击”。