Малварь Olympic Destroyer, использовавшаяся для атак во время Олимпиады в Пхенчане, вновь активна - «Новости»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Новости мира Интернет » Новости » Малварь Olympic Destroyer, использовавшаяся для атак во время Олимпиады в Пхенчане, вновь активна - «Новости»

Специалисты «Лаборатории Касперского» предупредили, что активность возобновил вредонос Olympic Destroyer, использовавшийся для атак во время проведения зимних Олимпийских игр в Пхенчане. Новыми жертвами малвари становятся финансовые организации в России, а также лаборатории по предотвращению биологических и химических угроз в Европе и Украине.





По данным экспертов, атаки возобновились в мае 2018 года и продолжились в июне. Новая кампания по-прежнему основывается на рассылке таргетированых фишинговых писем с вредоносными вложениями. После открытия такого вложения, при помощи хитрости и социальной инженерии пользователя вынуждают включить макросы, что приводит к выполнению встроенного VBA-кода и обфусцированного скриплета Powershell. Тот применяется для расшифровки дополнительного пейлоада, HTA-файла с JScript, который загружается из облачного хранилища Microsoft OneDrive.





Судя по всему, злоумышленники также используют для размещения и контролирования малвари легитимные, но взломанные сайты. Так, обнаруженные во время анализа пути URI выглядели следующим образом:


  • /components/com_tags/views

  • /components/com_tags/views/admin

  • /components/com_tags/controllers

  • /components/com_finder/helpers

  • /components/com_finder/views/

  • /components/com_j2xml/

  • /components/com_contact/controllers/

В этом было трудно не узнать структуру популярной CMS Joomla. К сожалению, специалистам пока не удалось выяснить, какие именно уязвимости используют против Joomla злоумышленники. Однако некоторые пейлоады хостились на серверах, работающих с очень устаревшей версией Joomla 1.7.3, датированной ноябрем 2011 года. 






Исследователи отмечают, что обфускация всех решений выполнена с использованием тех же техник, которые применялись в ходе оригинальной кампании Olympic Destroyer.


При этом специалисты полагают, что атака на Олимпиаду и происходящее сейчас могут быть делом рук разных групп. Учитывая нынешний выбор целей, очевидно, что одних операторов Olympic Destroyer больше интересует финансовая выгода, тогда как другая группировка больше концентрируется на кибершпионаже.


Специалисты «Лаборатории Касперского» считают, что происходящее так же может быть результатом аутсорсинга кибератак, — практики, которая применяется не так уж редко. Еще один возможный вариант –  намеренное оставление преступниками так называемых «фальшивых флагов»,  то есть это попытка отвлечь внимание специалистов от настоящих целей группировки и настоящих организаторов атак.


Дело в том, что еще после атаки на Олимпиаду в Пхенчане издание Washington Post и многие другие СМИ возложили ответственность за случившееся на российских правительственных хакеров. Но «Лаборатория Касперского» уже тогда сообщала об использовании «фальшивых флагов». К примеру, операторы Olympic Destroyer применяли в работе ряд инструментов, известных благодаря северокорейской группе правительственных хакеров Lazarus Group, а также решения ряда китайских хакерских групп. В новом отчете эксперты также сообщают, что группировка использует техники и методики, которые обычно ассоциируют с кампаниями российской хакерской группы APT28 (она же Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit и Tsar Team).


Напомню, что Olympic Destroyer является вайпером (от английского wiper, «чистильщик») и способен удалять критические для работы Windows системные сервисы, вмешиваться в процедуры восстановления данных. Из-за этого эксперты опасаются, что в настоящее время мы можем наблюдать лишь стадию рекогносцировки, за которой последует новая волна деструктивных атак «с новыми мотивами».


Источник новостиgoogle.com

Специалисты «Лаборатории Касперского» предупредили, что активность возобновил вредонос Olympic Destroyer, использовавшийся для атак во время проведения зимних Олимпийских игр в Пхенчане. Новыми жертвами малвари становятся финансовые организации в России, а также лаборатории по предотвращению биологических и химических угроз в Европе и Украине. По данным экспертов, атаки возобновились в мае 2018 года и продолжились в июне. Новая кампания по-прежнему основывается на рассылке таргетированых фишинговых писем с вредоносными вложениями. После открытия такого вложения, при помощи хитрости и социальной инженерии пользователя вынуждают включить макросы, что приводит к выполнению встроенного VBA-кода и обфусцированного скриплета Powershell. Тот применяется для расшифровки дополнительного пейлоада, HTA-файла с JScript, который загружается из облачного хранилища Microsoft OneDrive. Malicious doc used in recent

запостил(а)
Carter
Вернуться назад
0

Смотрите также

А что там на главной? )))



Комментарии )))