BlackEnergy针对乌克兰发动鱼叉式钓鱼攻击

卡巴斯基实验室全球研究和分析团队最近发现了一种之前未知的攻击，这种攻击由使用俄语的BlackEnergy APT组织发动。卡巴斯基实验室专家发现了一份鱼叉式钓鱼攻击文件，其中提到乌克兰极右派政党“Right Sector”。而且证据显示，这种恶意文件似乎被用来针对乌克兰一家知名的电视频道进行攻击。

BlackEnergy是一个高度活跃的网络攻击组织，其最近针对乌克兰的攻击表明该攻击组织非常具有破坏性。除了能够感染工业控制安装系统外，该组织还从事网络间谍行动。最初，BlackEnergy只是一个使用DDoS犯罪软件的组织，但之后扩张成为使用大量恶意工具的网络攻击组织。BlacEnergy使用大量攻击工具进行多次APT攻击行动，包括地缘政治行动。例如，2015年末，该组织针对乌克兰多个重要的机构发动了一波攻击。尽管该组织已经被多次发现进行网络犯罪行动，但BlackEnergy犯罪组织仍然在活动，对相关目标造成严重的威胁。

从2015年中期开始，BlackEnergy网络攻击组织就大量利用包含宏的恶意Excel文档的鱼叉式钓鱼邮件对目标网络进行攻击。但是，今年一月，卡巴斯基实验室研究人员发现一种最新的恶意文档，能够利用BlackEnergy木马感染受攻击系统。同之前攻击中使用的Excel文档不同，这种攻击使用的是Word文档。在打开这种文档时，用户会看到一个对话框，建议用户启用宏以查看文档内容。但是一旦启用宏，就会造成BlackEnergy恶意软件感染。

一旦恶意软件在受害者计算机内激活，恶意软件会向命令和控制(C&C)服务器发送有关受感染计算机的基础信息。恶意程序向C&C发送的信息中，有一个字段包含一串似乎是受害者ID的信息。卡巴斯基实验室研究人员对这种恶意文档分析时发现，其中包含标识符“301018stb”。这里的“stb”可能指的是乌克兰电视台“STB”。该电视台是2015年10月BlackEnergy Wiper攻击中的受害者之一。木马感染计算机后，可以下载其它恶意模块到受感染系统。根据所使用木马的版本不同，所下载的附加模块功能也不尽相同，有些具有网络间谍功能，有的则是能够清除数据。

卡巴斯基实验室全球研究和分析团队总监Costin Raiu表示，“我们曾经发现BlackEnergy网络攻击组织利用恶意Excel和PowerPoint文档针对乌克兰的某些机构和组织进行攻击。我们预测利用Word文档的攻击将会出现，这次发现证实了我们的猜测。整体来看，使用包含宏的Word文档进行攻击在APT攻击中越来越常见。例如，在最近的Turla APT组织所发动的类似攻击中同样使用了包含宏的Word文档。所以，我们认为这种攻击很容易成功，所以导致这种攻击方式越来越常见。”

早在2014年，BlackEnergy APT攻击组织在全球范围内对工业控制系统(ICS)和能源企业部署SCADA相关插件时，就吸引了卡巴斯基实验室的注意。所以，我们得出结论，该攻击组织主要针对乌克兰的工业控制系统(ICS)、能源行业、政府和媒体、全球范围内的ICS/SCADA公司、能源公司进行攻击：