Против ожидания, зловредный стиратель, пытавшийся сорвать открытие зимней Олимпиады в Пхёнчхане, не исчез, а лишь на время затих. В мае и июне исследователи из «Лаборатории Касперского» обнаружили новые образцы документов Microsoft Office, используемых для доставки Olympic Destroyer в ходе целевых атак на территории Франции, Германии, Нидерландов, России и Украины.

Профили немногочисленных жертв заражения, характер маскировочных документов и данные телеметрии говорят о том, что в России злоумышленников интересуют финансовые институты, в Западной Европе и на Украине — организации, занимающиеся вопросами предотвращения применения биологического и химического оружия.

По свидетельству экспертов, цепочка заражения Olympic Destroyer, начинающаяся с открытия вредоносного вложения, осталась прежней. Получателя обманом пытаются заставить включить макрос (кнопкой Enable content — «Включить содержимое»). Если это удалось, происходит активация встроенного VBA-кода, который запускает апплет-сценарий Powershell для расшифровки дополнительной полезной нагрузки — HTA-файла с JScript, подгружаемого из облачного хранилища Microsoft OneDrive.

Исследователи особо отметили, что и VBA, и все используемые в ходе заражения скрипты обфусцированы во избежание детектирования.

На третьем этапе заражения на машину жертвы загружается Powershell Empire — модульный фреймворк с открытым исходным кодом, широко используемый для проверки возможности развития атак на Windows-системы (повышения привилегий, закрепления в системе) после проникновения. Этот написанный на Python и Powershell агент полностью работает в оперативной памяти, и его сложно обнаружить.

Для загрузки Olympic Destroyer и управления его действиями злоумышленники, по всей видимости, используют скомпрометированные серверы с установленной CMS-системой Joomla. Какая именно уязвимость послужила причиной их взлома, пока не установлено. Один из этих серверов использует Joomla очень старой сборки — 1.7.3, которая была выпущена в ноябре 2011 года.

Кто стоит за новыми атаками, тоже неизвестно; разнообразие мишеней, по мнению экспертов, может свидетельствовать о том, что Olympic Destroyer используют разные криминальные группы. Возможно также, что это лишь очередная попытка сбить аналитиков со следа и отвлечь внимание от истинных целей текущей киберкампании.

Категории: Аналитика, Вредоносные программы, Главное