Lembra do ataque cibernético ' Destroyer Olímpico '?
O grupo por trás dele ainda está vivo, chutando e agora foi encontrado visando laboratórios de prevenção de ameaças biológicas e químicas na Europa e na Ucrânia, e algumas organizações financeiras na Rússia.
No início deste ano, um grupo desconhecido de hackers famosos atacou os Jogos Olímpicos de Inverno de 2018 , realizados na Coréia do Sul, usando um malware destrutivo que propositalmente plantou falsas bandeiras sofisticadas para induzir os pesquisadores a atribuir erroneamente a campanha
Infelizmente, o malware destrutivo foi bem-sucedido até certo ponto, pelo menos nos próximos dias, e logo após o ataque vários pesquisadores de segurança postmortem o malware do Destruidor Olímpico e começaram a atribuir o ataque a diferentes grupos de hackers da Coréia do Norte, Rússia, e a China.
Pesquisadores posteriores do fornecedor de antivírus russo Kaspersky Labs descobriram mais detalhes sobre o ataque, incluindo a evidência de artefatos de atribuição falsa, e concluíram que todo o ataque foi uma operação magistral no engano.
Agora, de acordo com um novo relatório publicado hoje pela Kaspersky Labs, o mesmo grupo de hackers, ainda não atribuído, foi encontrado em organizações na Rússia, Ucrânia e vários países europeus em maio e junho de 2018, especificamente as organizações que respondem e proteger contra ameaças biológicas e químicas.
Novo ataque compartilha similaridades com o destruidor olímpico
Durante a investigação, os pesquisadores descobriram que as táticas de exploração e fraude usadas pela recém-descoberta campanha compartilham muitas semelhanças com o ataque do Destruidor Olímpico.
"Em maio-junho de 2018 descobrimos novos documentos de spear phishing que se assemelhavam a documentos armados usados pelo Olympic Destroyer no passado", disseram os pesquisadores. "Eles continuam usando um vetor de infecção executável não-binário e scripts ofuscados para evitar a detecção."Assim como o Olympic Destroyer, o novo ataque também tem como alvo usuários afiliados a organizações específicas usando e-mails de spear phishing que aparecem como provenientes de um conhecido, com um documento anexado.
Se as vítimas abrirem o documento malicioso, ele aproveitará as macros para fazer o download e executar vários scripts do PowerShell em segundo plano e instalar a carga final do terceiro estágio para assumir o controle remoto do sistema das vítimas.
Os pesquisadores descobriram que a técnica usada para ofuscar e descriptografar o código malicioso é a mesma usada na campanha original de spear-phishing dos Destroyers Olímpicos.
O script de segundo estágio desativa o registro de script do Powershell para evitar deixar rastros e, em seguida, faz o download da carga final "Agente do Powershell Empire", que permite o controle sem arquivos dos sistemas comprometidos em um canal de comunicação criptografado.
Hackers atacam laboratórios de prevenção de ameaças biológicas e químicas
Segundo os pesquisadores, o grupo tentou obter acesso a computadores em países como França, Alemanha, Suíça, Rússia e Ucrânia.
Pesquisadores encontraram evidências de que hackers atacam principalmente pessoas afiliadas a uma conferência sobre ameaças bioquímicas, chamada Spiez Convergence, realizada na Suíça e organizada pelo Laboratório Spiez .
Spiez Laboratório desempenhou um papel essencial na investigação do envenenamento em março de um ex-espião russo no Reino Unido. O Reino Unido e os EUA disseram que a Rússia estava por trás do envenenamento e expulsaram dezenas de diplomatas russos.
Outro documento direcionado ao Ministério da Saúde na Ucrânia.
Ainda não se sabe quem está por trás desses ataques, mas o Kaspersky aconselha todas as organizações de pesquisa e prevenção de ameaças bioquímicas a fortalecer sua segurança de TI e executar auditorias de segurança não programadas.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário