Саботировавшие Олимпиаду-2018 хакеры снова взялись за старое

[душман]

Группировка высококвалифицированных хакеров Olympic Destroyer, известная своими атаками на организаторов, партнеров и поставщиков зимней Олимпиады-2018 в Пхенчхане, возобновила свою активность. Как сообщают эксперты «Лаборатории Касперского», главной задачей Olympic Destroyer был саботаж с использованием сетевого червя. Перед его запуском злоумышленники изучали атакуемые сети в поисках наиболее подходящей «стартовой площадки» для самовоспроизводящегося, самомодифицирующегося червя.

В мае-июне текущего года эксперты ЛК зафиксировали новые случаи фишинговых писем с вредоносным вложением, аналогичные тем, что ранее рассылали Olympic Destroyer. Как показал анализ писем, за ними стоит все та же группировка, однако на этот раз она избрала новые цели для атак. По результатам анализа фишинговых писем и телеметрических данных исследователи обнаружили, что новыми жертвами Olympic Destroyer являются финансовые организации в РФ, а также лаборатории в Европе и Украине, специализирующиеся на химической и биологической безопасности.

Как и прежде, для обхода обнаружения атаки злоумышленники используют обфусцированные скрипты и метод заражения без использования исполняемых файлов. По мнению исследователей, для хостинга и управления вредоносным ПО хакеры используют скомпрометированные легитимные web-серверы. К примеру, эксперты обнаружили известные структуры каталогов, используемые системой управления контентом Joomla. Какую именно уязвимость проэксплуатировали хакеры, специалисты назвать затруднились.