Группировка Hades, которая в феврале атаковала серверы Олимпиады-2018, в очередной раз доработала свое ПО. По мнению ИБ-экспертов, преступники стремятся действовать более скрытно, чтобы специалистам было сложнее проследить путь к организаторам кампаний.

Напомним, на Зимних Олимпийских играх в Пхенчхане атака Olympic Destroyer на несколько часов вывела из строя официальный сайт и системы печати билетов, привела к проблемам с доступом к Wi-Fi и интернет-телевидением. Как выяснили специалисты «Лаборатории Касперского», использованный злоумышленниками троян-дроппер представлял собой «самомодифицирующуюся самораспространяющуюся вредоносную программу с возможностью сбора паролей». Эти же эксперты установили, что за кампанией стояла группировка Hades (рус. «Аид»).

В следующий раз об атаках Olympic Destroyer стало известно в мае-июне этого года. Преступники атаковали российские финансовые организации и европейские структуры, занимающиеся вопросами предотвращения применения биологического и химического оружия. Специалисты предположили, что троян могут использовать сразу несколько независимых группировок.

Кто бы ни имел доступ к этому зловреду, в последние несколько недель они вновь вернулись к активным действиям, применяя как уже проверенные на практике инструменты, так и качественно новые средства атак. Злоумышленники доработали вредоносные макросы и фишинговые приемы, что позволило аналитикам говорить о следующем «этапе эволюции» в развитии угрозы.

Обновленный вредонос по-прежнему представляет собой дроппер. Первые случаи заражения были зафиксированы на Украине. Программа распространяется через документ Word под русскоязычным названием «Техническое задание на разработку мобильного приложения». Преступники взяли содержание из реального документа, доступного в Сети.

При открытии файла пользователь видит белый экран и требование разрешить работу макроса. Если жертва соглашается сделать это, троян меняет цвет шрифта на черный и внедряется в систему. Он завершает процессы, способные помешать его работе, и последовательно запускает несколько скриптов для получения полезной нагрузки.

Обновленный дроппер стал использовать функцию отложенного запуска — ранее она включалась только на втором этапе атаки, после установки полезной нагрузки. В результате зловред может обмануть многие современные песочницы. Кроме того, он определяет виртуальное окружение по косвенным признакам, не начиная работу, если на машине запущено меньше 40 процессов. Макросы теперь защищены шестнадцатеричным шифрованием и формальными функциями (dummy functions) и используют продвинутые техники скриптов.

Эксперты предупреждают, что, как и после предыдущих модификаций, обновленный дроппер сможет обходить многие антивирусные системы. Отследить его присутствие можно по косвенным признакам — формальные функции в коде, обмен данными с серверами, которые ранее были замечены в кампаниях этой группировки, особые триггеры с применением объектов ActiveX.

Категории: Вредоносные программы, Хакеры