Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Обнаружены новые образцы документов Microsoft Office, используемых для доставки стирателя в ходе целевых атак.
Против ожидания, зловредный стиратель, пытавшийся сорвать открытие зимней Олимпиады в Пхёнчхане, не исчез, а лишь на время затих. В мае и июне исследователи из “Лаборатории Касперского” обнаружили новые образцы документов Microsoft Office, используемых для доставки Olympic Destroyer в ходе целевых атак на территории Франции, Германии, Нидерландов, России и Украины.
Профили немногочисленных жертв заражения, характер маскировочных документов и данные телеметрии говорят о том, что в России злоумышленников интересуют финансовые институты, в Западной Европе и на Украине — организации, занимающиеся вопросами предотвращения применения биологического и химического оружия.
По свидетельству экспертов, цепочка заражения Olympic Destroyer, начинающаяся с открытия вредоносного вложения, осталась прежней. Получателя обманом пытаются заставить включить макрос (кнопкой Enable content — “Включить содержимое”). Если это удалось, происходит активация встроенного VBA-кода, который запускает апплет-сценарий Powershell для расшифровки дополнительной полезной нагрузки — HTA-файла с JScript, подгружаемого из облачного хранилища Microsoft OneDrive.
Исследователи особо отметили, что и VBA, и все используемые в ходе заражения скрипты обфусцированы во избежание детектирования.
На третьем этапе заражения на машину жертвы загружается Powershell Empire — модульный фреймворк с открытым исходным кодом, широко используемый для проверки возможности развития атак на Windows-системы (повышения привилегий, закрепления в системе) после проникновения. Этот написанный на Python и Powershell агент полностью работает в оперативной памяти, и его сложно обнаружить.
Для загрузки Olympic Destroyer и управления его действиями злоумышленники, по всей видимости, используют скомпрометированные серверы с установленной CMS-системой Joomla. Какая именно уязвимость послужила причиной их взлома, пока не установлено. Один из этих серверов использует Joomla очень старой сборки — 1.7.3, которая была выпущена в ноябре 2011 года.
Кто стоит за новыми атаками, тоже неизвестно; разнообразие мишеней, по мнению экспертов, может свидетельствовать о том, что Olympic Destroyer используют разные криминальные группы. Возможно также, что это лишь очередная попытка сбить аналитиков со следа и отвлечь внимание от истинных целей текущей киберкампании.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |