高潮不断:攻击索尼的“格盘病毒”又重创了韩国核电站

高潮不断:攻击索尼的“格盘病毒”又重创了韩国核电站

黑客专题访客2021-10-12 0:15:0010812A+A-

  12月21日,一名黑客通过Twitter向韩国水电与核电公司发出严重警告,要求官方立即停止运行核电站。同时黑客还公开了包括两座核电站部分设计图在内的4份压缩档案。值得一提的是,这次事件中所用的木马竟然又是“格盘病毒”——MBR Wiper。

  为什么又用?因为前不久闹得沸沸扬扬的针对索尼影视的攻击中,黑客使用的正是“格盘病毒”。那么究竟这两起事件之间有没有关联呢?

  在这次韩国核电站黑客攻击事件中,攻击者使用了一款病毒(恶意软件),该病毒会擦除感染机器的主引导记录(MBR),因此我们称它为“格盘病毒”。

  “格盘病毒”是通过文杰文字处理软件(Hangul Word Processor,HWP)感染电脑的。文杰Office是由韩软公司(Hansoft)开发的类似微软Office的一套软件,在韩国的占有率很高。

  为了让受害者打开这些文件,攻击者使用了大量的社会工程学技巧。以下就是从受害者收到鱼叉式钓鱼邮件开始的一连串攻击过程。

  趋势科技将MBR wiper病毒识别为TROJ_WHAIM.A。除了修改MBR,它还会覆盖特定类型的文件。它将自己伪装成系统服务,确保每次重启都能正常运行。它使用真实存在的系统服务所使用的文件名、服务名和服务描述,不细看可能察觉不到异常,以此规避检测。

  这次核电站遭到的“格盘病毒”MBR攻击虽然罕见,但似曾相识。2013年3月的几次针对多个韩国政府部门的攻击中,我们也看到过MBR覆盖。这次攻击中所使用的恶意软件同样覆盖MBR引导记录,它会使用一系列“PRINCPES”,“HASTATI”或者“PR!NCPES”字符串覆盖MBR。

  这次的攻击与之前的攻击是有相似之处:三次的MBR攻击中,恶意软件使用了字符串不断重复覆盖MBR。在韩国核电站攻击中,黑客重复了“Who Am I?”字符串,而在索尼攻击事件中重复的是“0xAAAAAAAA”。

  针对索尼影业的黑客攻击被指是因为讽刺朝鲜的电影《刺杀金正恩》。虽然我们不能够确定这种观点的真实性,但在这次攻击中我们发现了与之相似的地方。

  我们注意到某个Twitter账户向韩国核电站传达指令,如果不满足他们的要求,就要发布窃取到的核电公司的文件。黑客其中的一个要求就是关闭核电站(韩国29%的电力是由核电站提供的)。

  尚未有确切归因

  虽然最近这几起攻击中有非常明显的相似之处,但我们还是不能肯定三次攻击的幕后主使就一定有关联。索尼安全事件被媒体广泛报道,所以也有可能导致一个攻击事件“引发”了新的攻击,他们不一定是有关联的。

  这些攻击中,MBR wiper病毒越来越显眼,一个深度防御的网络应该要把这些威胁考虑进去了。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 离鸢饮酎2022-06-03 09:42:42
  • 杰文字处理软件(Hangul Word Processor,HWP)感染电脑的。文杰Office是由韩软公司(Hansoft)开发的类似微软Office的一套软件,在韩国的占有率很高。  为了让受害者打开这些文件,攻击者使用了大量的社会工程学技巧。以下就是从受害者收到
  • 竹祭揽月2022-06-03 14:32:53
  • 占有率很高。  为了让受害者打开这些文件,攻击者使用了大量的社会工程学技巧。以下就是从受害者收到鱼叉式钓鱼邮件开始的一连串攻击过程。  趋势科技将MBR wiper病毒识别为TROJ_WHAIM.A。除了修改MBR,它还会覆盖特定类型的

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理