今年早些时候，一种名为Olympic Destroyer Wiper的恶意软件曾短暂的干扰过韩国冬奥会。现在它又带着一种新类型的dropper变种回来了，有重要变化显示表明其背后的APT组织发生了变化。尽管名为Olympic Destroyer，但自今年2月以来，Olympic Destroyer早已将攻击目标转移到了奥林匹克赛事之外。该恶意软件最初的传播途径，是靠其背后的APT组织大肆发送带有恶意附件的鱼叉式钓鱼电子邮件来实现的。Check Point的研究人员表示，据他们观测结果显示，在恶意附件中，宏的复杂性随着时间的推移而愈发增加，为了掩人耳目，Hades每个月都会出现新的版本。然而到了十月份，这个情况发生了变化。Check Point的研究人员在最近发表的一篇文章中指出，通过对字符串编码 *** 以及一些其他常用指标的研究表明，大多数恶意文档都是由同一个威胁行为者创建的，使用的是相同的混淆工具集，每月更改一次。但最新样本显示出了与Hades APT的宏通常所采用的、常规进化路径的偏离，出现了一种全新的变种。具体来讲，就是该变种中引入了反分析和延迟执行等新特性，这些特性过去只在第二阶段Wiper负载中使用。Hades APT的doc文件和宏混淆器具有一些独特的特征，通过这些特征，可将它们与其他dropper区分开来。例如，Hades大多数的dropper都包含了下列三个文档作者签名：James，John或AV。分析师表示，这些“指纹”对追踪该组织的研究人员来说非常重要，因为它们很少见。在缺乏区别特征、代码中内置了大量错误标志的情况下，卡巴斯基实验室仍旧致力于识别此组织的特征。Check Point的研究人员表示，众所周知，Hades利用公开的工具进行侦察和后期开发，这使得对攻击之一阶段的分析和检测变得更加重要，这也是区分该组织与他人的行动，乃至追踪其全球活动的 *** 之一。Check Point说，在Olympic Destroyer Wiper最近的一次更新中，用户首先会看到一个空白页面。一旦激活，宏就会将白色文本变为黑色，内容就会显示出来。这份文件的文本是可以在网上找到的合法文件。接着宏本身执行沙箱规避;它检索运行进程的列表，然后将其与流行的分析工具使用的进程进行比较，并计算总共有多少个正在运行的进程。这个过程计数对沙箱和分析环境很有效，因为通常有一些进程在运行。在此之前，这些工作都是在旧版本的PowerShell阶段进行的。最新的dropper能还将解码的HTA文件写入计算机的磁盘，并安排它在早上执行。HTA文件利用VBScript对下一级命令行进行解码，使用与宏相同级别的技术和解码器。除了之一阶段变化之外，Check Point的研究人员还发现了一些新情报，比如Hades的droppers使用受感染服务器作为第二阶段命令和控制（C2）。Check Point表示，尽管人们对Hades的基础设施知之甚少，但一些与他们C2相关联的droppers暴露了一些服务器问题，这些问题表明受损的服务器仅充当 *** ，请求实际上被重定向到另一台服务器，该服务器承载着Hades整个组织的后端。总体而言，这些变化表明，为了避免被找到任何蛛丝马迹，该组织在持续创新当中。之前在奥运会期间，Hades就操作了伪旗行动;而其最新的dropper也在隐匿着自己的行踪。Check Point的研究人员表示，Hades没有表现出放慢运作的迹象，他们的能力与他们的受害者名单一起增长。