Blackenergy Trojan Resurfaces导致停电
Blackenergy Trojan已经在乌克兰重新安装了,黑客已经使用它来造成停电。
最初被认为是一个相对简单的工具来实现2007年的分布式拒绝服务(DDOS)攻击,它已经演变成具有模块化架构的复杂恶意软件。
2014年,ESET的安全研究人员报告说,Blackenergy已被用于乌克兰和波兰的间谍活动,直到八月。
在一年之后,ESET研究人员发现,Blackenergy被用作后门,以攻击乌克兰电力和媒体公司的破坏性成分。
2015年12月23日,大约一半的乌克兰的伊万诺 - 弗兰克斯克地区的房屋留了几个小时。
根据乌克兰新闻媒体出口TSN,中断的原因是“黑客攻击”。
ESET研究人员在一个博客帖子中表示,该公司的遥测系统表明停机不是一个孤立的事件,并且网络犯罪分子同时瞄准其他乌克兰能源公司。
在攻击中,他们说,旨在摧毁目标系统的“killdisk”组件在先前感染的计算机上下载并执行。
Blackenergy与Killdisk组件之间的联系是2015年11月的CERT-UA报告,当时一些新闻媒体公司在2015年乌克兰当地选举时遭到袭击。
该报告要求通过攻击销毁大量视频材料和各种文件。
根据ESET研究人员,攻击者通常会发送目标组织一个矛网络钓鱼电子邮件,该电子邮件包含具有恶意文档的附件。
乌克兰安全公司Cys Centrum发布了两个用于Blackenergy活动的电子邮件截图,攻击者欺骗了发件人地址,似乎是一个属于乌克兰议会的议会。
该文档通常包含旨在说服受害者使用社交工程在文档中运行宏的文本。
一旦宏观运行,受害者就会感染Blackenergy Lite,是Blackenergy Trojan的变种。
针对乌克兰媒体公司使用的Killdisk组件专注于销毁各种类型的文件和文件。
然而,ESET研究人员发现,在乌克兰的能源公司攻击中使用的Killdisk组件略有不同。
根据ESET的分析,最新版本的主要变化是它现在接受命令行参数,以在破坏性有效载荷应激活时设置特定的时间延迟。
它还删除了Windows事件日志,并仅删除了35个文件扩展类型,而攻击乌克兰媒体公司的攻击中的超过4,000个文件扩展类型。
在电力分配公司中检测到的Killdisk组件还包含专门通过用随机数据覆盖可执行文件来破坏工业控制系统的功能。
ESET研究人员表示,他们将继续监控未来发展的Blackenergy恶意软件操作.................................. ..........