شناسایی قربانیان جدیدی از بدافزار المپیک زمستانی ۲۰۱۸
طبق گزارش منتشر شده در اوایل سال گذشته توسط Kaspersky، بدافزار Olympic Destroyer همچنان فعال است و قربانیان جدید را آلوده می کند.
به گزارش سیتنا به نقل از مرکز مدیریت راهبردی افتا، این بدافزار در المپیک زمستانی ۲۰۱۸ در پیونگ یانگ مورد استفاده قرار گرفته است. پژوهشگران Kaspersky اعلام کردهاند که قربانیان جدیدی از بدافزار المپیک را در ماه می و ژوئن ۲۰۱۸ در سراسر اروپا شناسایی کرده اند.
قربانیان جدید شامل سازمان های مالی در روسیه و آزمایشگاه های پیشگیری از تهدیدات بیولوژیکی و شیمیایی در اروپا و اوکراین هستند. این قربانیان از طریق حملات فیشینگ و فایل های سند آفیس آلوده شده اند.
بدافزار المپیک به منظور پاک کردن فایل ها از سیستم، از کار انداختن آن و سرقت کلمات عبور از مرورگرها و ویندوز طراحی شده است. بدافزار در طول بازی های المپیک در حمله ای که سیستم های IT شامل وبسایت های رویداد رسمی، صفحات نمایش و اتصالات WiFi را مورد هدف قرار داد، استفاده شده است.
به گفته پژوهشگران، اهداف مالی مهاجمین در حملات اخیر یک عملیات False Flag است تا کارشناسان امنیتی را نسبت به مقاصد آنها گمراه کنند. کارشناسان بخش هایی از بدافزار المپیک را مشاهده کردند که در آنها از ابزارهای توسعه داده شده توسط گروه Lazarus و سه گروه جاسوس سایبری دیگر استفاده شده است. در گزارش های جدید Kaspersky اعلام شده است که بعضی از روش ها و عملیات های استفاده شده در حملات بدافزار المپیک، شباهت زیادی با روش های گروه های Sofacy، APT۲۸ و Fancy Bear دارد.
طبق اعلام پژوهشگران Kaspersky، مهاجمین از تکنیک های فیشینگ برای فریب قربانیان استفاده کرده اند تا فایل ها مخرب آفیس را دانلود کنند. این فایل ها با نام Spiez CONVERGENCE.doc منتشر می شوند.
این اسناد حاوی کد ماکرو هستند که یک اسکریپت PowerShell را اجرا می کند. این اسکریپت PowerShell logging را غیر فعال می کند و قربانی را با دانلود بدافزار المپیک آلوده می کند.
در حملات اخیر، هکرها کدهای بدافزار المپیک را از وب سایت هایی که نسخه ۱,۷.۳ جوملا را اجرا می کنند، دانلود می کنند. جوملا ۱.۷.۳ یک نسخه بسیار قدیمی از این سیستم مدیریت محتوا است.
انتهای پیام
افزودن دیدگاه جدید