黑客團伙“黑色能量”新一輪魚叉式網絡釣魚行動瞄準更多烏克蘭公司,其中包括一家電視頻道。
卡巴斯基實驗室分析師找到的一份魚叉式網絡釣魚文檔提到了極右翼烏克蘭民族主義政黨“右區黨(Right Sector)”,而且似乎已經針對烏克蘭一家受歡迎的電視頻道發起了釣魚攻擊。此前,烏克蘭電視臺“STB”就已淪為黑色能量2015年10月Wiper攻擊的受害者。
去年圣誕節前造成烏克蘭短時大面積停電的惡意軟件攻擊也是這個操著俄語的APT組織所為。
自去年年中起,黑色能量團伙就一直勤于進行魚叉式網絡釣魚郵件攻擊,這些郵件帶有包含宏的惡意Excel文檔,可以感染計算機系統。然而,今年1月,卡巴斯基實驗室研究人員發現了一種新的惡意文檔,可以將計算機系統感染上黑色能量木馬。與之前攻擊中使用的Excel文檔不同,這次用的是微軟Word文檔。
打開此文檔時會彈出一個對話框,建議你啟用宏以查看文檔內容。而宏的啟用,恰恰是黑色能量惡意軟件感染的觸發條件。鑒于所用木馬的版本,這些附加攻擊載荷功能各異,從網絡間諜到數據清除,不一而足。
卡巴斯基實驗室全球研究與分析部門負責人康斯丁·拉伊烏(Costin Raiu)說:“以前,我們發現過黑色能量使用Excel和PPT文檔攻擊烏克蘭各類實體。Word文檔的采用也在我們的估計之中,現在這一估計得到了證實。總體上,在APT攻擊中,采用Word文檔宏的形式越來越普遍了。比如說,我們最近就發現Turla APT小組使用帶有宏的文檔發起類似的攻擊。這讓我們相信很多此類攻擊都取得了成功,而這也是為什么此類攻擊越來越流行的原因。”
終端安全防護專家SentinelOne也在一份報告中指出了同樣的趨勢:網絡攻擊策略正轉變為針對運行有微軟Office套件的具體個人。
黑色能量APT團伙是在2014年引起卡巴斯基實驗室的注意的。當時這個黑客組織正針對全球范圍內的工控系統(ICS)和能源產業部署監控和數據采集(SCADA)相關的插件。
后續研究表明,該黑客團伙特別活躍于以下產業:烏克蘭能源、政府和媒體機構、全球ICS/SCADA公司和能源企業。在發展到更具破壞性的攻擊之前,比如西門子設備漏洞利用和路由器攻擊插件,黑色能量黑客小組是由DDoS攻擊起家的。
京公網安備 11010502049343號