网络攻击的新浪潮击中了乌克兰电力公司
一股新的网络攻击浪潮已经打击乌克兰的电力公司。
在被认为是网络攻击直接导致功率削减时,据信第一次被认为是一个月之后,袭击勉强。
2015年12月23日,网络攻击将乌克兰的Ivano-Frankivsk地区的一半成为黑暗中的几个小时。
安全公司ESET的研究人员表示,他们已经发现,他们已经发现,被送往乌克兰电力分销公司的羽毛钓鱼电子邮件,具有恶意的Microsoft Excel(XLS)文件附件。
最终恶意软件有效载荷与12月攻击中使用的不一样,提高了最新的攻击是不同攻击者的工作。
Blackenergy特洛伊木马被确定为12月袭击的关键部件,促使猜测被认为具有俄罗斯国家支持的相关乡村集团进行的袭击。
但是最新羽毛钓鱼攻击中使用的恶意软件是基于一个自由的开源后台,这是“没有人期望从涉嫌国家赞助的恶意软件运营商”,ESET Malware研究员Robert Lipovsky在博客文章中写道。
然而,他说攻击使用过去的沙虫组使用的技术。
Spearphising电子邮件包含HTML内容,其中包含位于远程服务器上的PNG图像文件的链接,以通知攻击者已发送和打开的攻击者。
恶意宏启用的XLS文件尝试欺骗收件人忽略内置Microsoft Office安全警告并无意中执行宏。
文档中的文本,由乌克兰语翻译,阅读:“注意力!本文档是在较新版本的Microsoft Office中创建的。需要宏显示文档的内容。“
运行宏将启动恶意特洛伊木马下载者,该下载器从远程服务器下载并执行最终有效负载。
托管最终有效载荷的服务器位于乌克兰,但在乌克兰电脑应急响应团队的通知后脱机,Cert-UA。
ESET研究人员预计Blackenergy恶意软件是最终的有效载荷,但发现了在Python编程语言中编写的开源GCAT后门的修改版本。
“使用Piinstaller程序将Python脚本转换为独立的可执行文件,”Lipovsky写道。
他说,这个后门可以下载可执行文件和执行shell命令,并由使用Gmail帐户控制攻击者,这使得难以检测网络中的这种流量。
Lipovsky表示,虽然对乌克兰的电力公司的攻击引起了对攻击者身份的猜测,但目前没有证据表明谁在这些袭击后面。
他还指出,虽然ESET的最新发现提出了“虚假旗帜运营”的可能性,但它没有帮助揭开乌克兰袭击的起源。