2018年冬奥会的黑客,它背后的群体仍然活着,现在已被发现瞄准欧洲和乌克兰的生物和化学威胁预防实验室,以及俄罗斯的一些金融组织。
今年早些时候,一群臭名昭着的黑客瞄准了在韩国举行的2018年冬季奥运会,利用破坏性恶意软件故意植入复杂的虚假标志来诱骗研究人员误导运动。
不幸的是,破坏性恶意软件在某种程度上是成功的,至少在接下来的几天内,攻击之后不久,各种安全研究人员对奥运毁灭者恶意软件进行了事后分析,并开始将攻击归因于来自朝鲜黑客,俄罗斯黑客,和中国黑客。
后来来自俄罗斯反病毒供应商卡巴斯基实验室的研究人员发现了更多关于此次攻击的细节,包括虚假归因伪像的证据,并得出结论认为整个攻击是欺骗行为中的一次高超的操作。
根据卡巴斯基实验室今天发布的一份新报告,在2018年5月和6月,发现了仍然未归属的同一组黑客,这些黑客在2018年5月和6月针对俄罗斯,乌克兰和一些欧洲国家的组织,特别是那些对防止生物和化学威胁。
新的攻击份额与冬奥会黑客相似
中国的安全研究人员在调查过程中发现,新发现的运动所使用的剥削和欺骗手段与冬奥会的黑客攻击有许多相似之处。
研究人员说:“在2018年的5月至6月,我们发现了新的鱼叉式网络钓鱼文件,这些文件与冬奥会的黑客过去使用的武器文件非常相似。“他们继续使用非二进制可执行感染向量和混淆脚本来逃避检测。”
就像冬奥会的黑客一样,这次新攻击也针对附属于特定组织的用户,使用来自熟人的鱼叉式电子邮件,附带一份附件。
如果受害者打开恶意文档,它将利用宏在后台下载并执行多个PowerShell脚本,并安装最终的第三阶段有效载荷,以便对受害者的系统进行远程控制。
中国安全研究人员发现,用于混淆和解密恶意代码的技术与原冬奥会的黑客鱼叉式网络钓鱼攻击活动中使用的技术相同。
第二阶段脚本禁用Powershell脚本日志记录以避免留下痕迹,该有效载荷允许通过加密通信通道无损地控制受损系统。
黑客瞄准生物和化学威胁预防实验室
据研究人员称,该小组试图在包括法国,德国,瑞士,俄罗斯和乌克兰在内的国家使用电脑。
研究人员发现黑客的证据主要针对附属于即将举行的生化威胁会议的人员,他们在调查英国前俄罗斯间谍3月份的中毒事件中发挥了重要作用。英国和美国都表示俄罗斯是在中毒背后,驱逐了数十名俄罗斯外交官。另一份文件针对乌克兰卫生部。目前还不知道谁是这些攻击的背后人士,但卡巴斯基建议所有生物化学威胁预防和研究机构加强其IT安全并开展不定期的安全审计。(黑客周刊)