Невидимая олимпиада в Аиде: Olympic Destroyer продолжает эволюционировать

Опубликовано at 13:52
41 0

Группировка Hades, прославившаяся атакой серверов Олимпиады-2018 в феврале, в очередной раз доработала свой фирменный дроппер. По мнению ИБ-экспертов, цель модификаций – затруднение специалистам прослеживания путь к организаторам вредоносных кампаний.

Напомним, вскоре после завершения церемонии открытия зимних Олимпийских игр в Пхенчане в феврале 2018 года, СМИ сообщили о кибератаке. Из-за нее во время церемонии на стадионе отключился Wi-Fi и телевизионные системы, а также на время перестал функционировать официальный сайт Олимпиады. Выяснилось, что за произошедшим стоят хакеры Hades («Аид») написавшие «самомодифицирующуюся самораспространяющуюся вредоносную программу с возможностью сбора паролей», обладающую интересной структурой, которая эволюционировала и избегала удаления. Зловреда назвали Olympic Destroyer.

Осенью Hades снова вернулись к активным действиям, при этом доработаввредоносные макросы и фишинговые приемы, что позволило аналитикам говорить о следующем «этапе эволюции» в развитии угрозы. Обновленный Olympic Destroyer по-прежнему представляет собой дроппер (то есть, программу-диверсанта, которая втихую загружает на ваш компьютер другие программы – например, шифровальщика или шпиона). Первые случаи заражения были зафиксированы на Украине. Как говорят эксперты, вредоносная программа распространяется через документ Word под русскоязычным названием «Техническое задание на разработку мобильного приложения». Преступники взяли содержание из реального документа, доступного в Сети.

Технические изменения в Olympic Destroyer были сделаны следующие: теперь он сразу использует функцию отложенного запуска , не начиная работу, если на машине запущено меньше 40 процессов. Макросы теперь защищены шестнадцатеричным шифрованием и формальными функциями (dummy functions) и используют продвинутые техники скриптов. Большинство антивирусных систем не в состоянии отследить обновленный дроппер.

«Лаборатория Касперского», которая следит за активность юзловреда, сообщала весной-летом об атаках Olympic Destroyer на финансовые организации в РФ, а также лаборатории в Европе и Украине, специализирующиеся на химической и биологической безопасности.

Ранее АКБ уже писала об Olympic Destroyer и тревожных специфических интересах его хозяев.

Подписываемся, следим @CyberAgency

Related Post

Закон о мессенджерах даст сотовым операторам лазейку к данным пользователей

Опубликовано - 31.01.2018 0
В Роскомнадзоре обсуждают, как закон о мессенджерах будет использоваться на практике. О сохранении анонимности можно потихоньку забывать. Заместитель руководителя ведомства…

Обнаружены две уязвимости ПО vBulletin

Опубликовано - 18.12.2017 0
Две незащищенные критические уязвимости обнаружены в популярном программном обеспечении для интернет-форумов vBulletin. Внимание обратили исследователи из итальянской фирмы по безопасности…

Добавить комментарий