新變種的Olympic Destroyer惡意軟體暴露其背後APT的變化

今年早些時候，一種名為Olympic Destroyer Wiper的惡意軟體曾短暫的干擾過韓國冬奧會。現在它又帶著一種新型別的dropper變種回來了，有重要變化顯示錶明其背後的APT組織發生了變化。

儘管名為Olympic Destroyer，但自今年2月以來，Olympic Destroyer早已將攻擊目標轉移到了奧林匹克賽事之外。該惡意軟體最初的傳播途徑，是靠其背後的APT組織大肆傳送帶有惡意附件的魚叉式釣魚電子郵件來實現的。Check Point的研究人員表示，據他們觀測結果顯示，在惡意附件中，巨集的複雜性隨著時間的推移而愈發增加，為了掩人耳目，Hades每個月都會出現新的版本。然而到了十月份，這個情況發生了變化。

Check Point的研究人員在最近發表的一篇文章中指出，

通過對字串編碼方法以及一些其他常用指標的研究表明，大多數惡意文件都是由同一個威脅行為者建立的，使用的是相同的混淆工具集，每月更改一次。但最新樣本顯示出了與Hades APT的巨集通常所採用的、常規進化路徑的偏離，出現了一種全新的變種。

具體來講，就是該變種中引入了反分析和延遲執行等新特性，這些特性過去只在第二階段Wiper負載中使用。

Hades APT的doc檔案和巨集混淆器具有一些獨特的特徵，通過這些特徵，可將它們與其他dropper區分開來。例如，Hades大多數的dropper都包含了下列三個文件作者簽名：James，John或AV。分析師表示，這些“指紋”對追蹤該組織的研究人員來說非常重要，因為它們很少見。在缺乏區別特徵、程式碼中內建了大量錯誤標誌的情況下，卡巴斯基實驗室仍舊致力於識別此組織的特徵。

Check Point的研究人員表示，

眾所周知，Hades利用公開的工具進行偵察和後期開發，這使得對攻擊第一階段的分析和檢測變得更加重要，這也是區分該組織與他人的行動，乃至追蹤其全球活動的方法之一。

Check Point說，

在Olympic Destroyer Wiper最近的一次更新中，使用者首先會看到一個空白頁面。一旦啟用，巨集就會將白色文字變為黑色，內容就會顯示出來。這份檔案的文字是可以在網上找到的合法檔案。接著巨集本身執行沙箱規避;它檢索執行程序的列表，然後將其與流行的分析工具使用的程序進行比較，並計算總共有多少個正在執行的程序。這個過程計數對沙箱和分析環境很有效，因為通常有一些程序在執行。

在此之前，這些工作都是在舊版本的Shell/">PowerShell階段進行的。最新的dropper能還將解碼的HTA檔案寫入計算機的磁碟，並安排它在早上執行。HTA檔案利用VBScript對下一級命令列進行解碼，使用與巨集相同級別的技術和解碼器。

除了第一階段變化之外，Check Point的研究人員還發現了一些新情報，比如Hades的droppers使用受感染伺服器作為第二階段命令和控制（C2）。

Check Point表示，

儘管人們對Hades的基礎設施知之甚少，但一些與他們C2相關聯的droppers暴露了一些伺服器問題，這些問題表明受損的伺服器僅充當代理，請求實際上被重定向到另一臺伺服器，該伺服器承載著Hades整個組織的後端。

總體而言，這些變化表明，為了避免被找到任何蛛絲馬跡，該組織在持續創新當中。之前在奧運會期間，Hades就操作了偽旗行動;而其最新的dropper也在隱匿著自己的行蹤。

Check Point的研究人員表示，

Hades沒有表現出放慢運作的跡象，他們的能力與他們的受害者名單一起增長。