Группировка Hades, прославившаяся атакой серверов Олимпиады-2018 в феврале, в очередной раз доработала свой фирменный дроппер. По мнению ИБ-экспертов, цель модификаций – затруднение специалистам прослеживания путь к организаторам вредоносных кампаний.
Напомним, вскоре после завершения церемонии открытия зимних Олимпийских игр в Пхенчане в феврале 2018 года, СМИ сообщили о кибератаке. Из-за нее во время церемонии на стадионе отключился Wi-Fi и телевизионные системы, а также на время перестал функционировать официальный сайт Олимпиады. Выяснилось, что за произошедшим стоят хакеры Hades («Аид») написавшие «самомодифицирующуюся самораспространяющуюся вредоносную программу с возможностью сбора паролей», обладающую интересной структурой, которая эволюционировала и избегала удаления. Зловреда назвали Olympic Destroyer.
Осенью Hades снова вернулись к активным действиям, при этом доработаввредоносные макросы и фишинговые приемы, что позволило аналитикам говорить о следующем «этапе эволюции» в развитии угрозы. Обновленный Olympic Destroyer по-прежнему представляет собой дроппер (то есть, программу-диверсанта, которая втихую загружает на ваш компьютер другие программы – например, шифровальщика или шпиона). Первые случаи заражения были зафиксированы на Украине. Как говорят эксперты, вредоносная программа распространяется через документ Word под русскоязычным названием «Техническое задание на разработку мобильного приложения». Преступники взяли содержание из реального документа, доступного в Сети.
Технические изменения в Olympic Destroyer были сделаны следующие: теперь он сразу использует функцию отложенного запуска , не начиная работу, если на машине запущено меньше 40 процессов. Макросы теперь защищены шестнадцатеричным шифрованием и формальными функциями (dummy functions) и используют продвинутые техники скриптов. Большинство антивирусных систем не в состоянии отследить обновленный дроппер.
«Лаборатория Касперского», которая следит за активность юзловреда, сообщала весной-летом об атаках Olympic Destroyer на финансовые организации в РФ, а также лаборатории в Европе и Украине, специализирующиеся на химической и биологической безопасности.
Ранее АКБ уже писала об Olympic Destroyer и тревожных специфических интересах его хозяев.
