卡巴斯基实验室：Olympic Destroyer卷土重来

Olympic Destroyer是一种高级威胁，曾经利用基于毁灭性的网络蠕虫实施网络破坏行动，对在韩国平昌举办的2018年冬季奥运会的组织者、供应商以及合作伙伴进行攻击。很多迹象表明这次攻击的来源为不同方向，并且在2018年2月的信息安全行业造成了一些混乱。卡巴斯基实验室发现了一些罕见和复杂的特征，暗示Lazarus攻击组织(一个与北朝鲜有关联的威胁组织)似乎是这次攻击行动的幕后黑手。但是今年3月，卡巴斯基实验室确认这次攻击行动实施了一次精心设计的和令人信服的伪旗行动，所以Lazarus很可能与这次攻击无关。现在，研究人员发现Olympic Destroyer又开始活动，使用原始的渗透和侦察工具专注于对欧洲的目标实施攻击。

威胁攻击者正在通过鱼叉式钓鱼文档传播其恶意软件，这种钓鱼文档与攻击冬季奥运会中所使用的武器化文档非常相似。其中一个诱饵文件提到了在瑞士举办的生物化学威胁会议'Spiez Convergence'，举办方为Spiez实验室，而该组织也在索尔兹伯里袭击事件调查中发挥了关键作用。另一个文档则针对乌克兰一家卫生和兽医管理当局进行攻击。研究人员发现的一些鱼叉式钓鱼文档中包含俄语和德语。

从恶意文档中释放出的所有最终有效载荷都是为了提供对被入侵计算机的通用访问。被称为Powershell Empire的开放源代码和免费框架被用于攻击的第二阶段。

攻击者似乎使用被入侵的合法网站服务器来托管和控制恶意软件。这些服务器使用名为Joomla的流行开源内容管理系统(CMS)。研究人员发现，其中一台托管恶意有效载荷的服务器使用的是2011年11月发布的Joomla(v1.7.3)版本，这表明攻击者可能已经使用过时的CMS变种来入侵服务器。

根据卡巴斯基实验室遥测数据以及被上传到多引擎扫描服务网站上的文件，这次Olympic Destroyer攻击行动的主要目标似乎是德国、法国、瑞士、荷兰、乌克兰和俄罗斯的实体。

卡巴斯基实验室全球研究和分析团队安全研究员Vitaly Kamluk说：“今年初，具备复杂的欺骗行为的Olympic Destroyer的出现，永远改变了归属判断工作。表明研究人员在只能看到整个全景的部分时，很容易犯错。对这样威胁的分析和威慑应以私营部门与跨国界政府之间的合作为基础。我们希望通过公开分享我们的调查结果，能够让事故响应者和安全研究人员在未来可以更好地识别和消除任何阶段的攻击”。

在之前的攻击中，即冬季奥运会期间，侦察阶段在自我修改的毁灭性网络蠕虫传播之前几个月就已经开始。所以很可能Olympic Destroyer正在准备实施具备新动机的类似攻击。因此，我们建议生物、化学和核威胁研究机构和组织保持高度警惕，并在可能的情况下启动计划外的安全审核。

卡巴斯基实验室产品能够成功检测和拦截与Olympic Destroyer相关的恶意软件。