本文讲的是 黑色能量改变攻击策略 利用Word文档 电视台成最大目标,黑客团伙“黑色能量”新一轮鱼叉式网络钓鱼行动瞄准更多乌克兰公司,其中包括一家电视频道。
卡巴斯基实验室分析师找到的一份鱼叉式网络钓鱼文档提到了极右翼乌克兰民族主义政党“右区党(Right Sector)”,而且似乎已经针对乌克兰一家受欢迎的电视频道发起了钓鱼攻击。此前,乌克兰电视台“STB”就已沦为黑色能量2015年10月Wiper攻击的受害者。
去年圣诞节前造成乌克兰短时大面积停电的恶意软件攻击也是这个操着俄语的APT组织所为。
自去年年中起,黑色能量团伙就一直勤于进行鱼叉式网络钓鱼邮件攻击,这些邮件带有包含宏的恶意Excel文档,可以感染计算机系统。然而,今年1月,卡巴斯基实验室研究人员发现了一种新的恶意文档,可以将计算机系统感染上黑色能量木马。与之前攻击中使用的Excel文档不同,这次用的是微软Word文档。
打开此文档时会弹出一个对话框,建议你启用宏以查看文档内容。而宏的启用,恰恰是黑色能量恶意软件感染的触发条件。鉴于所用木马的版本,这些附加攻击载荷功能各异,从网络间谍到数据清除,不一而足。
卡巴斯基实验室全球研究与分析部门负责人康斯丁·拉伊乌(Costin Raiu)说:“以前,我们发现过黑色能量使用Excel和PPT文档攻击乌克兰各类实体。Word文档的采用也在我们的估计之中,现在这一估计得到了证实。总体上,在APT攻击中,采用Word文档宏的形式越来越普遍了。比如说,我们最近就发现Turla APT小组使用带有宏的文档发起类似的攻击。这让我们相信很多此类攻击都取得了成功,而这也是为什么此类攻击越来越流行的原因。”
终端安全防护专家SentinelOne也在一份报告中指出了同样的趋势:网络攻击策略正转变为针对运行有微软Office套件的具体个人。
黑色能量APT团伙是在2014年引起卡巴斯基实验室的注意的。当时这个黑客组织正针对全球范围内的工控系统(ICS)和能源产业部署监控和数据采集(SCADA)相关的插件。
后续研究表明,该黑客团伙特别活跃于以下产业:乌克兰能源、政府和媒体机构、全球ICS/SCADA公司和能源企业。在发展到更具破坏性的攻击之前,比如西门子设备漏洞利用和路由器攻击插件,黑色能量黑客小组是由DDoS攻击起家的。
原文发布时间为:二月 1, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/13455.html
