來(lái)自麥克菲公司的安全研究人員們報(bào)告稱(chēng),已經(jīng)有黑客開(kāi)始將矛頭指向平昌冬奧會(huì),目前眾多與此次賽事相關(guān)的機(jī)構(gòu)都陸續(xù)遭到魚(yú)叉式釣魚(yú)攻擊,包括提供基礎(chǔ)設(shè)施服務(wù)以及發(fā)揮其它輔助性職能的相關(guān)方。黑客們針對(duì)平昌冬奧會(huì)實(shí)施魚(yú)叉式釣魚(yú)攻擊,旨在竊取敏感信息或財(cái)務(wù)數(shù)據(jù)。
平昌冬奧會(huì)
第23屆冬季奧林匹克運(yùn)動(dòng)會(huì)——2018年平昌冬季奧運(yùn)會(huì)即將于2018年2月9日~25日在韓國(guó)平昌郡舉行,這是韓國(guó)歷史上第一次舉辦冬季奧運(yùn)會(huì)。
釣魚(yú)攻擊細(xì)節(jié)麥克菲方面報(bào)告稱(chēng),此次發(fā)出的電子郵件附件為惡意微軟Word文檔,標(biāo)題為:
, (農(nóng)林水產(chǎn)食品部為平昌冬季奧運(yùn)會(huì)舉辦“防止畜產(chǎn)惡臭”對(duì)策會(huì)議).doc。
該報(bào)告表示:該電子郵件的主體為icehockey@pyeongchang2018.com,指向韓國(guó)多個(gè)相關(guān)組織。這些組織機(jī)構(gòu)大多與平昌冬奧會(huì)存在一定關(guān)聯(lián),例如為平昌冬奧會(huì)提供基礎(chǔ)設(shè)施服務(wù)及其它輔助性職能機(jī)構(gòu)等。
本輪攻擊活動(dòng)于2017年12月22日正式開(kāi)始,攻擊者則將消息偽裝為由韓國(guó)國(guó)家反恐中心所發(fā)布。
釣魚(yú)郵件來(lái)自新加坡境內(nèi)黑客們對(duì)消息進(jìn)行了偽造,使其看似來(lái)自韓國(guó)國(guó)家反恐中心(簡(jiǎn)稱(chēng)NCTC)的官方郵箱info@nctc.go.kr,分析顯示這封電子郵件實(shí)際來(lái)自新加坡境內(nèi),其中提到將在平昌奧運(yùn)籌備地區(qū)內(nèi)組織所謂反恐演習(xí)。
黑客們?cè)噲D誘導(dǎo)受害者打開(kāi)這一標(biāo)題為韓國(guó)"農(nóng)林水產(chǎn)食品部為平昌冬季奧運(yùn)會(huì)舉辦防止畜產(chǎn)惡臭對(duì)策會(huì)議"的附件文件。
最初,該惡意軟件作為超文本應(yīng)用(簡(jiǎn)稱(chēng)HTA)文件被嵌入至惡意文檔中,在此之后惡意攻擊者開(kāi)始將該惡意代碼隱藏至某遠(yuǎn)程服務(wù)器的圖像當(dāng)中,并利用經(jīng)過(guò)混淆的Visual Basic宏啟動(dòng)解碼器腳本。此外,攻擊者還編寫(xiě)了一段自定義PowerShell代碼以解碼隱藏的圖像以啟動(dòng)該惡意軟件。
“病毒會(huì)通過(guò)SSL建立到以下站點(diǎn)的連接:
攻擊者通過(guò)這種方式能夠在受害者的設(shè)備上執(zhí)行命令并安裝其它惡意軟件。
安全人員預(yù)測(cè),類(lèi)似平昌冬奧會(huì)這樣的體育賽事將誘發(fā)更多黑客活動(dòng)的出現(xiàn)。隨著平昌冬奧會(huì)的日益臨近,預(yù)計(jì)攻擊者將利用更多與奧運(yùn)賽事相關(guān)的主題發(fā)起更多網(wǎng)絡(luò)攻擊活動(dòng)。根據(jù)以往的類(lèi)似案件來(lái)看,攻擊者的目標(biāo)主要為受害者的密碼內(nèi)容與財(cái)務(wù)信息。