SOS :: Security Operation Space
14 ноября, среда, 00:00
|
Hot News:

Olympic Destroyer вернулся

20 июня 2018 г., среда, 01:41

Обнаружены новые образцы документов Microsoft Office, используемых для доставки стирателя в ходе целевых атак.

Против ожидания, зловредный стиратель, пытавшийся сорвать открытие зимней Олимпиады в Пхёнчхане, не исчез, а лишь на время затих. В мае и июне исследователи из “Лаборатории Касперского” обнаружили новые образцы документов Microsoft Office, используемых для доставки Olympic Destroyer в ходе целевых атак на территории Франции, Германии, Нидерландов, России и Украины.

Профили немногочисленных жертв заражения, характер маскировочных документов и данные телеметрии говорят о том, что в России злоумышленников интересуют финансовые институты, в Западной Европе и на Украине — организации, занимающиеся вопросами предотвращения применения биологического и химического оружия.

По свидетельству экспертов, цепочка заражения Olympic Destroyer, начинающаяся с открытия вредоносного вложения, осталась прежней. Получателя обманом пытаются заставить включить макрос (кнопкой Enable content — “Включить содержимое”). Если это удалось, происходит активация встроенного VBA-кода, который запускает апплет-сценарий Powershell для расшифровки дополнительной полезной нагрузки — HTA-файла с JScript, подгружаемого из облачного хранилища Microsoft OneDrive.

Исследователи особо отметили, что и VBA, и все используемые в ходе заражения скрипты обфусцированы во избежание детектирования.

На третьем этапе заражения на машину жертвы загружается Powershell Empire — модульный фреймворк с открытым исходным кодом, широко используемый для проверки возможности развития атак на Windows-системы (повышения привилегий, закрепления в системе) после проникновения. Этот написанный на Python и Powershell агент полностью работает в оперативной памяти, и его сложно обнаружить.

Для загрузки Olympic Destroyer и управления его действиями злоумышленники, по всей видимости, используют скомпрометированные серверы с установленной CMS-системой Joomla. Какая именно уязвимость послужила причиной их взлома, пока не установлено. Один из этих серверов использует Joomla очень старой сборки — 1.7.3, которая была выпущена в ноябре 2011 года.

Кто стоит за новыми атаками, тоже неизвестно; разнообразие мишеней, по мнению экспертов, может свидетельствовать о том, что Olympic Destroyer используют разные криминальные группы. Возможно также, что это лишь очередная попытка сбить аналитиков со следа и отвлечь внимание от истинных целей текущей киберкампании.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:40
15:15
15:07
15:03
14:15
13:15
12:35
12:15
11:29
10:15
10:15
09:15
08:15
07:15
07:15
06:15
06:07
17:19


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.143
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.