卡巴斯基實驗室：Olympic Destroyer捲土重來

卡巴斯基實驗室研究人員一直在對OlympicDestroyer這一著名的威脅進行跟蹤，該威脅組織曾經利用毀滅性的網路蠕蟲對在平昌舉辦的冬季奧運會開幕式發動過攻擊。卡巴斯基實驗室發現該威脅幕後的黑客組織仍然在活躍。目前，該威脅組織正在對德國、法國、瑞士、荷蘭、烏克蘭以及俄羅斯實施攻擊，重點攻擊對象為涉及生物、化學和核威脅預防的機構和組織。

Olympic Destroyer是一種高級威脅，曾經利用基於毀滅性的網路蠕蟲實施網路破壞行動，對在韓國平昌舉辦的2018年冬季奧運會的組織者、供應商以及合作夥伴進行攻擊。很多跡象表明這次攻擊的來源為不同方向，並且在2018年2月的信息安全行業造成了一些混亂。卡巴斯基實驗室發現了一些罕見和複雜的特徵，暗示Lazarus攻擊組織（一個與北朝鮮有關聯的威脅組織）似乎是這次攻擊行動的幕後黑手。但是今年3月，卡巴斯基實驗室確認這次攻擊行動實施了一次精心設計的和令人信服的偽旗行動，所以Lazarus很可能與這次攻擊無關。現在，研究人員發現Olympic Destroyer又開始活動，使用原始的滲透和偵察工具專註於對歐洲的目標實施攻擊。

威脅攻擊者正在通過魚叉式釣魚文檔傳播其惡意軟體，這種釣魚文檔與攻擊冬季奧運會中所使用的武器化文檔非常相似。其中一個誘餌文件提到了在瑞士舉辦的生物化學威脅會議"Spiez Convergence"，舉辦方為Spiez實驗室，而該組織也在索爾茲伯里襲擊事件調查中發揮了關鍵作用。另一個文檔則針對烏克蘭一家衛生和獸醫管理當局進行攻擊。研究人員發現的一些魚叉式釣魚文檔中包含俄語和德語。

從惡意文檔中釋放出的所有最終有效載荷都是為了提供對被入侵計算機的通用訪問。被稱為Powershell Empire的開放源代碼和免費框架被用於攻擊的第二階段。

攻擊者似乎使用被入侵的合法網站伺服器來託管和控制惡意軟體。這些伺服器使用名為Joomla的流行開源內容管理系統（CMS）。研究人員發現，其中一台託管惡意有效載荷的伺服器使用的是2011年11月發布的Joomla（v1.7.3）版本，這表明攻擊者可能已經使用過時的CMS變種來入侵伺服器。

根據卡巴斯基實驗室遙測數據以及被上傳到多引擎掃描服務網站上的文件，這次Olympic Destroyer攻擊行動的主要目標似乎是德國、法國、瑞士、荷蘭、烏克蘭和俄羅斯的實體。

卡巴斯基實驗室全球研究和分析團隊安全研究員Vitaly Kamluk說：「今年初，具備複雜的欺騙行為的Olympic Destroyer的出現，永遠改變了歸屬判斷工作。表明研究人員在只能看到整個全景的部分時，很容易犯錯。對這樣威脅的分析和威懾應以私營部門與跨國界政府之間的合作為基礎。我們希望通過公開分享我們的調查結果，能夠讓事故響應者和安全研究人員在未來可以更好地識別和消除任何階段的攻擊」。

在之前的攻擊中，即冬季奧運會期間，偵察階段在自我修改的毀滅性網路蠕蟲傳播之前幾個月就已經開始。所以很可能Olympic Destroyer正在準備實施具備新動機的類似攻擊。因此，我們建議生物、化學和核威脅研究機構和組織保持高度警惕，並在可能的情況下啟動計劃外的安全審核。

卡巴斯基實驗室產品能夠成功檢測和攔截與Olympic Destroyer相關的惡意軟體。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！