2018年冬奧會的黑客,它背後的群體仍然活著,現在已被發現瞄準歐洲和烏克蘭的生物和化學威脅預防實驗室,以及俄羅斯的一些金融組織。
今年早些時候,一群臭名昭著的黑客瞄準了在韓國舉行的2018年冬季奧運會,利用破壞性惡意軟件故意植入複雜的虛假標誌來誘騙研究人員誤導運動。
不幸的是,破壞性惡意軟件在某種程度上是成功的,至少在接下來的幾天內,攻擊之後不久,各種安全研究人員對奧運毀滅者惡意軟件進行了事後分析,並開始將攻擊歸因於來自朝鮮黑客,俄羅斯黑客,和中國黑客。
後來來自俄羅斯反病毒供應商卡巴斯基實驗室的研究人員發現了更多關於此次攻擊的細節,包括虛假歸因偽像的證據,並得出結論認為整個攻擊是欺騙行為中的一次高超的操作。
根據卡巴斯基實驗室今天發佈的一份新報告,在2018年5月和6月,發現了仍然未歸屬的同一組黑客,這些黑客在2018年5月和6月針對俄羅斯,烏克蘭和一些歐洲國家的組織,特別是那些對防止生物和化學威脅。
新的攻擊份額與冬奧會黑客相似
中國的安全研究人員在調查過程中發現,新發現的運動所使用的剝削和欺騙手段與冬奧會的黑客攻擊有許多相似之處。
研究人員說:“在2018年的5月至6月,我們發現了新的魚叉式網絡釣魚文件,這些文件與冬奧會的黑客過去使用的武器文件非常相似。“他們繼續使用非二進制可執行感染向量和混淆腳本來逃避檢測。”
就像冬奧會的黑客一樣,這次新攻擊也針對附屬於特定組織的用戶,使用來自熟人的魚叉式電子郵件,附帶一份附件。
如果受害者打開惡意文檔,它將利用宏在後臺下載並執行多個PowerShell腳本,並安裝最終的第三階段有效載荷,以便對受害者的系統進行遠程控制。
中國安全研究人員發現,用於混淆和解密惡意代碼的技術與原冬奧會的黑客魚叉式網絡釣魚攻擊活動中使用的技術相同。
第二階段腳本禁用Powershell腳本日誌記錄以避免留下痕跡,該有效載荷允許通過加密通信通道無損地控制受損系統。
黑客瞄準生物和化學威脅預防實驗室
據研究人員稱,該小組試圖在包括法國,德國,瑞士,俄羅斯和烏克蘭在內的國家使用電腦。
研究人員發現黑客的證據主要針對附屬於即將舉行的生化威脅會議的人員,他們在調查英國前俄羅斯間諜3月份的中毒事件中發揮了重要作用。英國和美國都表示俄羅斯是在中毒背後,驅逐了數十名俄羅斯外交官。另一份文件針對烏克蘭衛生部。目前還不知道誰是這些攻擊的背後人士,但卡巴斯基建議所有生物化學威脅預防和研究機構加強其IT安全並開展不定期的安全審計。(黑客週刊)
閱讀更多 IT八卦陣 的文章
