《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 東京奧運(yùn)會(huì)變黑客演習(xí)場(chǎng) 惡意軟件以成人視頻流量作偽裝

東京奧運(yùn)會(huì)變黑客演習(xí)場(chǎng) 惡意軟件以成人視頻流量作偽裝

2021-07-28
來(lái)源:安全圈

近日,,一家日本安全公司表示,,發(fā)現(xiàn)了一個(gè)以?shī)W運(yùn)會(huì)為主題的惡意軟件樣本,其中包含擦除受感染系統(tǒng)上全部文件的功能,,而且針對(duì)的目標(biāo)似乎是日本個(gè)人電腦,。

微信圖片_20210728163618.png

  奧運(yùn)會(huì)變演習(xí)場(chǎng)

  近日,,一家日本安全公司表示,發(fā)現(xiàn)了一個(gè)以?shī)W運(yùn)會(huì)為主題的惡意軟件樣本,,其中包含擦除受感染系統(tǒng)上全部文件的功能,,而且針對(duì)的目標(biāo)似乎是日本個(gè)人電腦。

  這款擦除器是在上周三(7月21日)發(fā)現(xiàn)的,,也就是2021年?yáng)|京奧運(yùn)會(huì)開(kāi)幕式的前兩天,。

  根據(jù)日本安全公司Mitsui Bussan Secure Directions(以下簡(jiǎn)稱MBSD)分析發(fā)現(xiàn),該擦除器不只是刪除計(jì)算機(jī)內(nèi)的所有數(shù)據(jù),,而是只搜索位于用戶個(gè)人文件夾(“C:/Users//”)中的某些特定文件類型,。

  刪除目標(biāo)包括包括微軟Office文件,還涉及TXT,、LOG以及CSV等常見(jiàn)的存儲(chǔ)日志,、數(shù)據(jù)庫(kù)與密碼信息類文件。

  此外,,該擦除器還針對(duì)使用Ichitaro日語(yǔ)文字處理器創(chuàng)建的文件(下文加粗部分的擴(kuò)展名),。這讓MBSD團(tuán)隊(duì)相信,這款擦除器是專門(mén)針對(duì)日本的計(jì)算機(jī)(通常安裝有Ichitaro應(yīng)用程序)而創(chuàng)建的,。

  受影響的擴(kuò)展名:

  DOTM, DOTX, PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM,JTDC, JTTC, JTD, JTT, TXT, EXE, LOG

微信圖片_20210728163621.jpg

  文件擦除操作

  該擦除器的其他功能還包括大量反分析與反虛擬機(jī)檢測(cè)技術(shù),,以防止惡意軟件被輕易發(fā)現(xiàn)和分析,同時(shí),,它還能在操作完成之后將惡意軟件自動(dòng)刪除,。

  以成人視頻流量作偽裝

  然而,其最有趣的功能是,在擦除行為發(fā)生時(shí),,該擦除器還會(huì)使用cURL應(yīng)用訪問(wèn)XVideos成人視頻網(wǎng)站上的頁(yè)面,。

微信圖片_20210728163624.jpg

  訪問(wèn)色情網(wǎng)站URL的惡意軟件

  MBSD團(tuán)隊(duì)認(rèn)為,添加該功能是為了欺騙取證調(diào)查人員,,讓他們誤以為擦除行為是在用戶訪問(wèn)色情網(wǎng)站時(shí)感染惡意軟件所致,。

  然而,MBSD團(tuán)隊(duì)表示,,該擦除器是在 Windows EXE 文件中發(fā)現(xiàn)的,,而且文件名被刻意仿冒為常見(jiàn)的PDF形式:[緊急]與東京奧運(yùn)會(huì)相關(guān)的網(wǎng)絡(luò)攻擊等違規(guī)報(bào)告([Urgent] Damage report regarding the occurrence of cyber attacks, etc. associated with the Tokyo Olympics.exe)

  MBSD研究人員Takashi Yoshikawa與Kei Sugawara在報(bào)告中寫(xiě)道,,

  “由于該惡意軟件使用PDF圖標(biāo)進(jìn)行偽裝,,并且僅針對(duì)用戶(Users)文件夾下的數(shù)據(jù),因此可以認(rèn)定該惡意軟件旨在感染那些不具備管理員權(quán)限的用戶,?!?/p>

  目前,研究人員發(fā)現(xiàn)了這款惡意軟件樣本的兩個(gè)樣本,,并已上傳至VirusTotal,。

  FBI警告可能針對(duì)奧運(yùn)會(huì)的網(wǎng)絡(luò)攻擊

  據(jù)悉,就在美國(guó)聯(lián)邦調(diào)查局(FBI)向私營(yíng)行業(yè)發(fā)出“發(fā)現(xiàn)威脅者可能會(huì)以今年?yáng)|京奧運(yùn)會(huì)為目標(biāo)”的警報(bào)一天后,,安全人員便發(fā)現(xiàn)了這款擦除器,。

  事實(shí)上,針對(duì)奧運(yùn)會(huì)的攻擊事件并不是什么新鮮事,。過(guò)去兩屆奧運(yùn)會(huì)期間都發(fā)生過(guò)黑客攻擊事件,。

  鑒于興奮劑丑聞,俄羅斯運(yùn)動(dòng)員被限制參加2016年里約夏季奧運(yùn)會(huì),,為此,,APT28(又名Fancy Bear)于2016年8月入侵了世界反興奮劑機(jī)構(gòu)(WADA),并泄露了美歐運(yùn)動(dòng)員的保密醫(yī)療數(shù)據(jù),。

  在禁令延長(zhǎng)至2018年平昌冬奧會(huì)之后,,俄羅斯黑客又在開(kāi)幕式期間部署了“奧運(yùn)會(huì)毀滅者”(Olympic Destroyer)擦除器,試圖削弱奧運(yùn)組織者的內(nèi)部網(wǎng)絡(luò),。

  東京奧運(yùn)會(huì)期間,,禁止俄羅斯運(yùn)動(dòng)員參賽的禁令仍然有效。所以,,此次是否同樣為俄羅斯黑客的“報(bào)復(fù)”行為暫未可知,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]