در آخرین امواج حمله، مهاجمان سعی داشتند خود را به جای شرکتهای نفت و گاز روسیه، به خصوص "PAO NGK Slavneft" جا بزنند، تا به بخشهایی از این صنعت ضربه بزنند.
روش توزیع آلودگی در نمونه مورد بررسی، ارسال ایمیل، یک روش معمول و موثر، بوده است. ایمیل فیشینگ حاوی یک فایل zip با نام «slavneft.zakaz.zip» است. این فایل، شامل یک فایل جاوااسکریپت روسی است. این فایل به عنوان دانلودکننده در زنجیره آلودگی عمل میکند، با استفاده از یک سری آدرسهای سختافزاری سرور، برای جلوگیری از شناسایی توسط ضدویروسها به شدت به مبهمسازی و رمزگذاری متکی است. در این کد جاوااسکریپت، اگر اولین درخواست HTTP انجام نشود، دومی نیز ارسال نمیشود، اما متغیر "qF" با سایر URLهای مخرب مقداردهی میشود. احتمالا کد جاوا اسکریپت هنوز در حال توسعه و بهبود است، بنابراین مهاجم برای بازیابی نمونه از دیگر منابع، میتواند خطوط کد جدیدی وارد مجموعه قبلی کند.
تمام منابع بارگذاریشده توسط دانلودکننده جاوااسکریپت به وبسایتهای آسیبدیده اشاره میکند که بیشتر آنها در حال اجرای سیستمهای مدیریت محتوای وردپرس و جوملا هستند. در عینحال، Treshold قادر به استفاده از یک ماژول کرم برای جستجو و یافتن همگانی صفحات ورود به سیستم چندین برنامه کاربردی شناخته شده مانند وردپرس و جوملا است.
بدافزار هنگامی که در وبسایتها قرار میگیرد، یک نسخه از کد اجرایی را بارگذاری میکند. با استفاده از این روش، بدافزار نسخههای متعدد پشتیبان ایجاد میکند تا انعطافپذیری خود در نقاط تحت کنترل را افزایش دهد.
بدافزار Shade در زمان تجزیه و تحلیل، میزان تشخیص بالایی را از خود نشان نداده است و تنها یک سوم ضدبدافزارها آن را شناسایی کردند. Shade تمامی فایلهای کاربر را با استفاده از طرح رمزنگاری AES رمزگذاری میکند. سپس پسوند ".crypted ۰۰۰۰۰۷" را به آنها اضافهکرده وپیغام باجخواهی را در هر پوشه سیستم، به دو زبان انگلیسی و روسی ایجاد میکند. Shade با استفاده از کتابخانههای TOR تعبیهشده به سرور C. ۲ خود متصلشده و ماژولهای اضافی مانند CMSBrute یا استخراجگر ZCash را دریافت میکند.
اطلاعات در دسترس، منشاء تهدید Treshold را نیمه سال ۲۰۱۷ میداند و نشان میدهد که مهاجمان روش عملیات و زیرساختهای خود را تغییر ندادهاند. همچنین شناسه کیفپول رمزارز در طول سال حفظ شده و تکنیکهای انتشار و الگوها نیز تقریبا ثابت هستند.
انتهای پیام/