E安全12月16日讯 一年前, BlackEnergy黑客组织对乌克兰电网发起网络攻击,而这次BlackEnergy变身为“TeleBots”组织攻击乌克兰银行。
“黑暗力量”(BlackEnergy)组织一年前攻击乌克兰电网,导致乌克兰大规模停电。乌克兰政府指责俄罗斯参与其中,但进一步的分析表明,BlackEnergy恶意软件并不是乌克兰断电的直接原因。
ESET公司的专家表示,BlackEnergy黑客组织正利用TeleBots恶意软件攻击乌克兰银行。TeleBots恶意代码与BlackEnergy组织使用的恶意软件有许多相似之处。ESET推测,BlackEnergy已经演变为TeleBots组织。
ESET发表博文称,“2016年下半年,ESET研究人员识别出一款独特的恶意工具集,针对乌克兰金融行业的高价值目标实施网络攻击。我们认为,攻击者使用这些工具的主要目标是进行网络破坏。本篇博文概述了此次网络活动的细节。”
“我们将提到恶意软件TeleBots背后的团伙。然而,这些攻击者及其使用的工具集与BlackEnergy黑客组织存在众多相似之处。BlackEnergy 2015年12月与2016年1月曾对乌克兰的能源行业发起网络攻击。事实上,我们认为BlackEnergy组织已经变身TeleBots组织。”
黑客通过包含恶意宏的Microsoft Excel文档利用鱼叉式网络钓鱼信息攻击受害者。
一旦受害者点击“启用内容”(Enable Content)按钮,TeleBots文档中的宏通过使用explorer.exe文件名释放恶意二进制并执行二进制。其恶意代码为木马下载器,通过Rust程序语言编写,负责下载并执行另一种恶意软件。
ESET表示,“一旦受害者点击Enable Content按钮,Excel执行恶意宏。我们的分析表明,TeleBots文档中使用的宏代码与BlackEnergy黑客组织2015年使用的相匹配。”
以下为BlackEnergy与TelBots源代码的相似之处:
“宏的主要目的是利用explorer.exe文件名释放恶意二进制,之后执行二进制。释放的二进制属于木马下载器家族,旨在下载并执行另一恶意软件。这个目标下载器用Rust程序语言编写。”
TeleBots黑客能完全劫持设备并在目标网络加以扩散。专家注意到,该组织还能在目标设备上植入KillDisk恶意软件,使目标设备显示FSociety Mr Robot(《黑客军团》地下黑客组织FSociety)为主题的标识之前无法启动。
专家肯定,TeleBots威胁攻击者旨在实施网络破坏攻击。很显然,俄罗斯是头号嫌疑。
相关阅读:乌克兰电网攻击纪实:能力逆天的狡猾黑客
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
如果此文章侵权,请留言,我们进行删除。0day
文章评论