Stejně jako při útocích Sandwormu jsou k útoku opět využívány infikované prezentace v PowerPointu zasílané v emailech,
popisují situaci výzkumníci ze Symantec. Útočný kód skrývá malware typu payload a to sice Trojan.Taidoor a Backdoor.Darkmoon (také známý jako Poison Ivy).
U Trojan.Taidoor byla nalezena spojitost s kyberšpionážní skupinou, která mj. nedávno napadla tchajwanské vládní a vzdělávací instituce. Backdoor.Darkmoon je velmi rozšířený backdoor - tato konkrétní varianta byla ovšem zaznamenána ještě předtím, než byly objeveny útoky skupiny Sandworm.
Útočné přílohy se tentokráte liší: zatímco ty zneužívající první zranitelnosti zahrnovaly OLE komponenty odkazující na vnější soubory, ty novější přímo obsahují útočný kód,
popisuje Symantec. Výhodou novějších útoků je, že nevyžadují nové připojení počítače k internetu, a tak se vlastně vyvarují detekce ze strany Network Intrusion Prevention System,
doplňuje Ronnie Giagone, analytik hrozeb z Trend Micro.
Podle výzkumníků z Trend Micro a iSight Partners původní útočníci ze skupiny Sandworm napadli především průmyslové kontrolní systémy, WinCC, Siemens HMI a software dispečerského řízení a sběru dat.