“奥运毁灭者”的攻击目标扩大

2018 年06 月25日

有迹象表明,试图破坏2018年韩国平昌冬奥会的高级威胁攻击程序”奥运毁灭者”(Olympic Destroyer)又回来了。我们的专家最近发现了与”奥运毁灭者”相似的活动痕迹,但这次它们瞄准的是俄罗斯的各家金融组织以及荷兰、德国、法国、瑞士和乌克兰的生物化学威胁防御实验室。

造成的问题

原”奥运毁灭者”采用了非常复杂的欺骗手段。首先,它利用的是非常令人信服的诱饵文件,文件中加载有隐藏的恶意软件。其次,它采用了混淆机制,使其工具对防御解决方案隐形。而最为奇特的是,它还使用了各种虚假标志使威胁分析变得复杂。

我们发现的新威胁是一种新型鱼叉式网络钓鱼文件,其有效内容类似于原”奥运毁灭者”的工具。目前还没有发现蠕虫的迹象,但截至现在我们观察到的文件有可能代表的是侦察阶段(就像2017年,在发起网络攻击战之前的侦察阶段一样)。关于恶意软件及其基础结构的技术信息以及威胁征兆,请阅读此Securelist文章

新的攻击目标

真正的新闻是这种新恶意软件的目标。根据我们对诱饵信息的分析表明,这一次网络犯罪分子意图渗透进生物化学威胁防御实验室。他们的新目标还包括俄罗斯各金融组织 – 但金融焦点有可能只是另一个幌子。

除了混淆脚本之外,这些文件中还提到了”Spiez Convergence”(这是在瑞士举行的面向生物化学威胁研究人员的大会)、推测要用于毒死在英国得到庇护的谢尔盖·斯克里帕尔(Sergei Skripal,前俄罗斯联邦军上校,曾为英国提供间谍服务)及其女儿的神经性毒剂,另外还有乌克兰卫生部的命令。

对企业的影响

通常,我们说到通过网络钓鱼传播的威胁时,首先的一个建议就是打开可疑文件时更加谨慎。但可惜的是,此建议对于这种病毒不起作用 – 因为文件一点也不可疑。

为这种鱼叉式网络钓鱼攻击而创造的诱饵是专为目标受害者量身打造的,所以我们能向欧洲的生化威胁防御和研究公司及组织提供的唯一建议是,运行不定期的安全审核。哦,对了,还要安装可靠的防御解决方案。我们的产品就能检测出并阻止”奥运毁灭者”相关的恶意软件。