研究人员发现，ISIS黑客在针对法国电视台TV5Monde的攻击中使用了恶意软件Kjw0rm。攻击者设法控制了电视台网络的系统及社交媒体账号，干扰电视台的11个频道并利用公司的社交媒体账号发布威胁及敏感信息，其中包括参与反ISIS行动法国战士们亲属的个人信息。

恶意软件Kjw0rm

关于这起攻击的技术信息并不是很多，但法国新闻网站Breaking3zero获得了一些情况，指出攻击者利用一个Java漏洞传输一份恶意VBScript文件，以控制被感染的设备。根据网站提供的内容，安全研究人员认为攻击所使用的恶意软件是一个Kjw0rm的变种。Kjw0rm是利用臭名昭著的Njw0rm(Jenxcus)源代码开发出来的几个远程访问木马之一。Njw0rm以及njRAT(Bladabindi)在中东攻击者中非常流行，曾是微软2014年6月发起的一次行动目标。

Breaking3zero披露称电视台攻击中所使用的恶意软件是一名网络昵称为“Najaf”的人制造的。安全研究人员表示，Najaf变体的代码与一般的Kjw0rm变体代码相似，而最大的不同之处在于硬编码参数在代码中的不同位置。

一旦感染设备，Kjw0rm远程访问木马就会收集系统信息并返回给攻击者。随后攻击者会发布多个指令，要求从某个特定URL下载文件、执行文件、执行shell命令、打开网站、关闭或重启计算机、然后针对某个特定目标发动ping flood攻击。

攻击线索

攻击者的归属地查询并非易事。不过安全专家表示，Najaf位于伊拉克。值得注意的是，叙利亚及伊拉克的很多领土都被ISIS占领。一个由美国领导、包括法国在内的军事联盟在这些地区对圣战主义者发动了空袭。

尽管TV5Monde掌门人表示公司拥有先进的IT安全系统，但其员工不慎将密码在采访时泄露出去的行为似乎跟他开了一个玩笑。FBI在本周早些时候曾发出警告称支持ISIS的个人已开始利用WordPress漏洞对一些网站进行涂鸦。

*参考来源securityweek，codename2015翻译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）