Um ataque cibernético sofisticado foi relatado já que tinha como alvo a infraestrutura dos Jogos Olímpicos de Inverno de Pyeongchang usando o OlympicDestroyer Malware do Lazarus Hacking Group.
Esse inteligente ataque cibernético leva a derrubar os sistemas de TI antes das cerimônias de abertura oficiais, desligar os monitores, matar o Wi-Fi e derrubar o site das Olimpíadas para que os visitantes não possam imprimir ingressos.
A análise anterior concluída por Cisco Talos equipe publicou que, há semelhanças entre o ataque, Petya (Expetr / NotPetya) e BadRabbit.
Porém, novas investigações revelaram muito mais indicadores falsos que várias técnicas avançadas usaram para destruir os sistemas e o servidor de segmentação.
Nesse caso, o OlympicDestroyer contém vários componentes avançados e atua como um worm de rede, usando ferramentas legítimas, como a ferramenta PsExec, módulo de ladrão de credenciais.
O objetivo principal deste módulo é destruir arquivos nos compartilhamentos de rede remotos na rede da vítima mais de 60 minutos após a infecção.
O módulo principal do OlympicDestroyer coleta senhas de usuário do navegador e Windows armazena e cria uma nova geração do worm que compromete os computadores da rede local e usa a ferramenta PsExec.
Relações com componentes OlympicDestroyerVetor de infecção mais avançado
Os ataques de malware tradicionais através de documentos do MS Office com uma macro incorporada que solicita aos usuários que habilitem o conteúdo e o documento iniciam um cmd.exe com uma linha de comando para executar um script do PowerShell e, eventualmente, o computador das vítimas infectadas será comprometido.
Nesse caso, Kaspersky os analistas obtiveram acesso administrativo a um dos servidores afetados, localizado em um hotel no condado de Pyeongchang, na Coréia do Sul.
Investigações posteriores revelaram que o tráfego malicioso dos sistemas infectados resolveu seu servidor de comando e controle, localizado em Argentina.
Depois que o host infectou, na tentativa de conectar as várias conexões a este servidor, em portas como 443, 4443, 8080,8081,8443,8880.
O servidor foi comprado do revendedor sediado na Bulgária e o servidor colocado na Argentina e as informações do servidor são protegidas dos dados de registro, exceto os servidores DNS, que indicam que foram comprados via MonoVM, um VPS para um bitcoin.
Um documento malicioso que se espalha por email de spear-phishing usado por atacantes responsáveis pelo lançamento do worm OlympicDestroyer. Além disso, este documento inclui um comando do PowerShell que se assemelha ao backdoor do PowerShell encontrado na rede da vítima do OlympicDestroyer.
“Os scripts do PowerShell listados abaixo foram usados nos documentos armados e como backdoor autônomo. Como backdoor independente sem arquivo, eles foram criados e ofuscados usando a mesma ferramenta. “
OlympicDestroyer Propagation
O OlympicDestroyer do Lazarus Hacking Group é um worm de rede que rouba as credenciais da vítima usando várias tentativas maliciosas na rede.
“O diagrama acima foi construído com base em listas extraídas de credenciais com nomes de host e em algumas supostas funções dos servidores com base nos respectivos nomes. Podemos ver que havia pelo menos três plataformas de lançamento independentes para o worm: empresa Atos.net, hotéis de resorts de esqui e servidor Pyeongchang2018.com. ”
Considerando todas as opções acima, agora parece uma bandeira falsa muito sofisticada que foi intencionalmente colocada dentro do malware, a fim de dar a impressão aos caçadores de ameaças de que encontraram uma evidência de arma fumegante, impedindo-os de rastrear a atribuição exata. Kaspersky disse.
