東京奧運會變黑客演習(xí)場,,開幕式前發(fā)現(xiàn)針對日本PC的惡意軟件
2021-07-28
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
奧運會變演習(xí)場
近日,一家日本安全公司表示,,發(fā)現(xiàn)了一個以奧運會為主題的惡意軟件樣本,,其中包含擦除受感染系統(tǒng)上全部文件的功能,,而且針對的目標(biāo)似乎是日本個人電腦。
這款擦除器是在上周三(7月21日)發(fā)現(xiàn)的,,也就是2021年東京奧運會開幕式的前兩天,。
根據(jù)日本安全公司Mitsui Bussan Secure Directions(以下簡稱MBSD)分析發(fā)現(xiàn),該擦除器不是刪除計算機內(nèi)的所有數(shù)據(jù),,而是只搜索位于用戶個人文件夾(“C:/Users//”0中的某些特定文件類型,。
刪除目標(biāo)包括包括微軟Office文件,還涉及TXT,、LOG以及CSV等常見的存儲日志,、數(shù)據(jù)庫與密碼信息類文件。
此外,,該擦除器還針對使用Ichitaro日語文字處理器創(chuàng)建的文件(下文加粗部分的擴展名),。這讓MBSD團隊相信,這款擦除器是專門針對日本的計算機(通常安裝有Ichitaro應(yīng)用程序)而創(chuàng)建的,。
受影響的擴展名:
DOTM, DOTX, PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM,JTDC, JTT
文件擦除操作
該擦除器的其他功能還包括大量反分析與反虛擬機檢測技術(shù),,以防止惡意軟件被輕易發(fā)現(xiàn)和分析,同時,,它還能在操作完成之后將惡意軟件自動刪除,。
以成人視頻流量作偽裝
然而,其最有趣的功能是,,在擦除行為發(fā)生時,,該擦除器還會使用cURL應(yīng)用訪問XVideos成人視頻網(wǎng)站上的頁面。
訪問色情網(wǎng)站URL的惡意軟件
MBSD團隊認為,,添加該功能是為了欺騙取證調(diào)查人員,,讓他們誤以為擦除行為是在用戶訪問色情網(wǎng)站時感染惡意軟件所致。
然而,,MBSD團隊表示,,該擦除器是在 Windows EXE 文件中發(fā)現(xiàn)的,而且文件名被刻意仿冒為常見的PDF形式:[緊急]與東京奧運會相關(guān)的網(wǎng)絡(luò)攻擊等違規(guī)報告([Urgent] Damage report regarding the occurrence of cyber attacks, etc. associated with the Tokyo Olympics.exe)
MBSD研究人員Takashi Yoshikawa與Kei Sugawara在報告中寫道,,
“由于該惡意軟件使用PDF圖標(biāo)進行偽裝,,并且僅針對用戶(Users)文件夾下的數(shù)據(jù),,因此可以認定該惡意軟件旨在感染那些不具備管理員權(quán)限的用戶?!?/p>
目前,,研究人員發(fā)現(xiàn)了這款惡意軟件樣本的兩個樣本,并已上傳至VirusTotal,。
FBI警告可能針對奧運會的網(wǎng)絡(luò)攻擊
據(jù)悉,,就在美國聯(lián)邦調(diào)查局(FBI)向私營行業(yè)發(fā)出“發(fā)現(xiàn)威脅者可能會以今年東京奧運會為目標(biāo)”的警報一天后,安全人員便發(fā)現(xiàn)了這款擦除器,。
事實上,,針對奧運會的攻擊事件并不是什么新鮮事。過去兩屆奧運會期間都發(fā)生過黑客攻擊時間,。
鑒于興奮劑丑聞,,俄羅斯運動員被限制參加2016年里約夏季奧運會,為此,,APT28(又名Fancy Bear(于2016年8月入侵了世界反興奮劑機構(gòu)(WADA),,并泄露了美歐運動員的保密醫(yī)療數(shù)據(jù)。
在禁令延長至2018年平昌冬奧會之后,,俄羅斯黑客又在開幕式期間部署了“奧運會毀滅者”(Olympic Destroyer)擦除器,,試圖削弱奧運組織者的內(nèi)部網(wǎng)絡(luò)。
東京奧運會期間,,禁止俄羅斯運動員參賽的禁令仍然有效,。所以,此次是否同樣為俄羅斯黑客的“報復(fù)”行為暫未可知,。