Huis > Cyber ​​Nieuws > Pas op! 2018 “Olympische Destroyer” Worm en It's Hackers zijn nog steeds actief
CYBER NEWS

oppassen! 2018 “Olympische Destroyer” Worm en It's Hackers zijn nog steeds actief

News hebben onlangs uitgebroken dat dezelfde hacking groep die zijn gedetecteerd om de malware te verspreiden, die bekend staat als “Olympic Destroyer” om nog steeds actief zijn en gericht is op verschillende dreigingspreventie faciliteiten in heel Europa en financiële faciliteiten in Rusland.

De malware is voor het eerst populair geworden tijdens de Olympische Winterspelen in Pyeongchang, Zuid-Korea. Toen, al snel werd vastgesteld dat de kwaadaardige code deel uitmaakt van een cybersabotage-hack die een destructieve worm verspreidt en hoogstwaarschijnlijk gericht is op de netwerken van organisaties om verkenningen uit te voeren en ook zichzelf te vermenigvuldigen terwijl ze onopgemerkt blijven. Security experts hebben de malware gemeld dat zij een deel van een zeer goed georganiseerde operatie. Maar hoewel de hack werd georganiseerd, de aanvallers achter deze malware hebben sommige vrij ernstige fouten welke gebruikers geholpen gemaakt op te sporen en ook het bewijs van de hack te bewijzen.




De activiteit en einddoel van de Olympische Destroyer

Het doel van de Olympische Destroyer was om organisaties te voeren en kijk voor digitale handtekeningen en smeden deze handtekeningen om zodat het lijkt alsof de malware is gemaakt door Lazarus APT, een hack entiteit, geloofden t zijn uit Noord-Korea. Echter, security onderzoekers al snel naar beneden kwam tot de conclusie dat de malware niet zijn gemaakt door Lazarus helemaal. Naast deze, de malware werd gekoppeld aan verschillende Chinese hackers zoals zij heeft code uit verschillende bedreiging actoren, net als de mensen die achter waren BadRabbit en de beroemde Civilian ransomware virussen.

Bovendien, onderzoekers hebben geconcludeerd dat de infectie procedure van de nieuwe variant van de Olympische Destroyer is gemaakt geavanceerder dan voorheen, maar in termen van infectie methoden, werd geoptimaliseerd en vereenvoudigd door de aanvallers. Het wordt nu met behulp van de volgende technologieën om systemen en zelf-propageren infecteren:

  • VBA code.
  • Powershell.
  • MS HTA.
  • JavaScript.
  • PowerShell.

Een bijzonder recente infectie file volgens de rapporten malware onderzoekers was een Microsoft Word-document, genoemd Spiez CONVERGENCE.doc, die feitelijk, bevat kwaadaardige macro's. Deze macro's infecteren slachtoffers als ze eenmaal accepteren de inhoud te bewerken na het openen van de documenten. Naast deze, onderzoekers melden ook dat de macro's zelf werden zwaar versluierd, wat betekent dat ze niet gemakkelijk kunnen worden gedetecteerd. Hier is hoe een dergelijke infectie proces werkt:

Nadat het slachtoffer het startsein voor de macro's, ze uitvoeren van een opdracht in Powrshell. Deze opdracht wordt ook verborgen en het geïnfecteerde systeem geen indicatie van besmetting tonen. Zodra het script is geïnjecteerd, het draait een nieuwe Powershell script. Hierna een zogenaamde “array-herschikking” voorkomt, die muteert de originele code en verbergt alle opdrachten worden uitgevoerd om de hacker te beschermen. Bijvoorbeeld, een ding dat dit kan verbergen is het IP-adres van de hacker, of meer in het bijzonder die van de command and control-server.

Nadat dit is gedaan, de malware maakt gebruik van een backdoor om de controle over de computer van het slachtoffer te nemen als onderdeel van een de stadiumwerken 1 infectie. Dan, het tweede stadium is een uitvoering Stadium 2 infectie malware die een nog grotere Poweshell scrip die een andere payload-bestand downloadt loopt. Tis bestand staat bekend als Powershell rijk en het is een open source project, geschreven in de Python taal en Powershell taal. Het laat de hacker om gecompromitteerde computers op afstand kan bedienen, zonder enige vorm van bestanden op de geïnfecteerde computers. Wat interessant is, is dat de onderzoekers beweren dat dit soort van hacking technieken die file-minder vaak door-pen testen van bedrijven worden gebruikt om te hacken voor het testen van de sterkte van een bepaald bedrijf te voorzien. In het echt, het gereedschap wordt effectief gebruikt met het voornaamste doel van de informatie te stelen.




Wat moet er gedaan worden?

Volgens onderzoekers, is het zeer belangrijk om alle van de havens te bereiken over netwerken en leren hoe u uw organisatie effectief te beschermen tegen spear-phishing en schadelijke e-mail campagnes, aangezien dit soort worm infecties kunnen niet alleen fileless zijn, maar ze kunnen ook automatisch verspreiden zodra de eerste besmetting van het organisatie-netwerk plaatsvindt. En met een ander groot sportevenement reeds plaats, de FIFA wereld beker 2018, Er zijn al infectie campagnes ,in verband met de wereldbeker door dreiging acteurs.

Ventsislav Krastev

Ventsislav is sindsdien een cybersecurity-expert bij SensorsTechForum 2015. Hij heeft onderzoek gedaan, aan het bedekken, slachtoffers helpen met de nieuwste malware-infecties plus het testen en beoordelen van software en de nieuwste technische ontwikkelingen. Na afgestudeerd Marketing, alsmede, Ventsislav heeft ook een passie voor het leren van nieuwe verschuivingen en innovaties in cybersecurity die gamechangers worden. Na het bestuderen van Value Chain Management, Netwerkbeheer en computerbeheer van systeemtoepassingen, hij vond zijn ware roeping binnen de cyberbeveiligingsindustrie en gelooft sterk in het opleiden van elke gebruiker in de richting van online veiligheid en beveiliging.

Meer berichten - Website

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens