**#امنیت ؛ در این مقاله به معرفی و بررسی کشفد بدافزار جدید شیمون ۲ می پردازیم . با ما همراه باشید :**

محققان امنیتی به تازگی بررسی‌های جدیدی را بر روی بدافزار شیمون۲ انجام داده و سرنخ‌های جدیدی از ابزارها و روش‌های مورد استفاده توسط این گروه را کشف کرده‌اند.

بدافزار شیمون۲ تقریباً از آبان ماه سال جاری پدیدار شده درحالی‌که نسخه‌ی اصلی بدافزار شیمون، ۴ سال است که وجود دارد و در حملاتی گسترده شرکت نفت و گاز آرامکو در عربستان سعودی را هدف قرار داده بود. مشابه بدافزار اصلی، نسخه‌ی به‌روزرسانی‌شده‌ی شیمون۲ نیز با حذف رکوردهای بوت اصلی و داده‌ها، سامانه‌های هدف را تخریب می‌کند. گزارش‌ها حاکی از آن است که شیمون۲ علاوه بر سازمان‌های پتروشیمی، بانک‌های مرکزی را نیز در عربستان سعودی هدف قرار داده است.

تا هفته‌ی قبل محققان امنیتی به‌دنبال پاسخ این سؤال بودند که چگونه بدافزار شیمون۲ سامانه‌های هدف و زیرساخت‌ها را آلوده می‌کند. در حال حاضر به لطف بررسی‌هایی که محققان و کارشناسان امنیتی انجام داده‌اند، به این سؤال پاسخ داده شده است. یک کارشناس امنیتی با نام نیل دنیز، در وبلاگ خود راجع‌به این تحقیق نوشت: «ما امیدوار بودیم با کشف نشانه‌ها و بررسی بر روی شیمون۲ بتوانیم روند آلودگی به این بدافزار را تشخیص دهیم و از وقوع آن پیشگیری کنیم.» هفته‌ی گذشته X-Force آی‌بی‌ام گزارش داد که چگونه سامانه‌های قربانی به بدافزار شیمون۲ آلوده می‎شوند.

در این گزارش گفته شده در مراحل اولیه‌ی آلودگی از اسنادی که حاوی ماکروهای مخرب هستند استفاده می‌شود. رایانامه‌ای که برای قربانیان ارسال می‌شود، حاوی سندی با ماکروهای مخرب است. زمانی که این سند اجرا می‌شود، از طریق پاورشِل با کارگزار دستور و کنترل ارتباط برقرار خواهد شد. مهاجمان در ادامه بدافزار شیمون۲ را بارگیری و نصب می‌کنند. محققان با بررسی ۳ نمونه از بدافزار، توانستند آن را به دامنه‌های مخرب، آدرس‌های IP و منابع وابسته به این بدافزار ردیابی کنند.

بدافزار جدید بدافزار بدافزار جدید شیمون 2 115 1

محققان می‌گویند در بررسی‌های خود متوجه شدند بدافزار شیمون۲ با گروه‌های نفوذی مانند Magic Hound و PuppyRAT که توسط دولت‌هایی در خاورمیانه پشتیبانی می‌شوند، در ارتباط است. دنیز در پست خود گفته است: «در حال حاضر ما می‌توانیم با اطمینان بگوییم که چه‌کسی پشت بدافزار شیمون۲ است و این بدافزار چگونه کار می‌کند.»

سرنخ دیگری که وجود دارد یک پرونده با نام sloo.exe که بدافزار شیمون۲ آن را بر روی سامانه‌ی هدف در پوشه‌ی Temp قرار داده است. دنیز در توضیحات فنی درباره‌ی پژوهش خود نوشت: «این پرونده در مسیرهای C:\Documents و Settings\Admin\Local Settings\Temp\sloo.exe ایجاد شده است. علاوه بر این پرونده، بدافزار با استفاده از پاورشِل به آدرس ۱۰۴.۲۳۸.۱۸۴.۲۵۲ متصل می‌شود.»

با بررسی‌های بیشتر بر روی آدرس‌های IP پاورشِل در این بدافزار، مشخص شد یک پویش جعل گواهی‌نامه نیز وجود دارد که اولین بار بر روی دامنه‌ی go-microstf[.]com برای جعل صفحه‌ی ورود در سرویس تجزیه و تحلیل گوگل مورد استفاده قرار می‌گرفت. دنیز می‌گوید این پویش جعل گواهی‌نامه تا اواخر ژانویه که حملات شیمون۲ ادامه داشت، مشاهده شده بود.