И ты, Word! «Лаборатория Касперского» зафиксировала новый вид атак кибергруппировки BlackEnergy
«Лаборатория Касперского» зафиксировала ранее неизвестный способ атак русскоговорящей кибергруппировки BlackEnergy — с использованием Word-документов. Эксперты обнаружили фишинговую рассылку, которая, похоже, использовалась в атаках на популярный украинский телеканал.
Несмотря на то что деятельность этой группировки уже давно получила широкую огласку, она остается весьма активной и представляет серьезную угрозу. Последние атаки в Украине показывают, что BlackEnergy сконцентрирована на внедрении разрушительных вредоносных программ, нарушении работы промышленных систем управления и кибершпионаже.
С середины 2015 года группировка активно распространяет фишинговые письма с вредоносными Excel-вложениями, которые заражают компьютеры через макросы, а в январе 2016 года «Лаборатория Касперского» впервые обнаружила, что она также использует для этих целей вредоносные вложения Word.
Получая такой документ, пользователь видит уведомление о необходимости подключить макрос для просмотра содержимого. Выполнение этой рекомендации приводит к запуску в системе троянца BlackEnergy.
Активированный на компьютере жертвы зловред посылает данные о зараженном устройстве на командный сервер, в том числе, скорее всего, и номер ID. Документ, проанализированный «Лабораторией Касперского», содержит идентификатор 301018stb, где stb может означать украинский телеканал СТБ, который уже становился жертвой BlackEnergy в октябре 2015 года. В зараженную систему затем могут быть внедрены и другие вредоносные модули с различными функциями, от кибершпионажа до уничтожения данных.
«Ранее BlackEnergy атаковала крупные предприятия в Украине с использованием Excel- и PowerPoint-документов. Мы предполагали, что дело дойдет и до Word, и наши подозрения оправдались. Макросы в Word действительно все чаще используются для проведения целевых атак. Например, недавно мы видели это у группировки Turla. К сожалению, растущая популярность этого метода свидетельствует о его успешности», — отмечает Костин Райю, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».
Группировка BlackEnergy попала в поле зрения «Лаборатории Касперского» в 2014 году. Тогда она проводила атаки на энергетические компании и промышленные системы управления по всему миру с использованием плагинов, нацеленных на SCADA-системы. Эксперты пришли к выводу, что особенно группировку интересуют соответствующие объекты в Украине, а также украинские госучреждения и СМИ. Изначально проводя целевые атаки с помощью DDoS-инструментов, позднее BlackEnergy расширила свой арсенал и осуществила в том числе ряд геополитических операций, например, атаки на несколько объектов критической инфраструктуры в Украине в конце 2015 года.
«Лаборатория Касперского» уже рассказывала о деятельности BlackEnergy: специальных плагинах для проведения DDoS-атак, разрушительных действиях в системе, атаках на оборудование Siemens и плагинах для атак на роутеры. Узнать больше о новом типе атак можно здесь.
Продукты «Лаборатории Касперского» детектируют различные троянцы, используемые BlackEnergy, в том числе Backdoor.Win32.Fonten.* и HEUR:Trojan-Downloader.Script.Generic.
Пресс-релиз
Читайте также:
ПодписатьсяСкорректированы правила подачи электронных документов в налоговый орган для регистрации юрлиц и ИП
Внесены изменения в порядок предоставления в территориальный орган ФНС России электронных документов для госрегистрации юрлиц, крестьянских (фермерских) хозяйств и ИП (приказ ФНС России от 24 декабря 2015 г. № ММВ-7-14/599@).
Более 40 тысяч индивидуальных предпринимателей и юридических лиц зарегистрировались в 2015 году онлайн
Более 40 тысяч заявлений было подано с помощью сервиса «Подача заявки на государственную регистрацию индивидуальных предпринимателей и юридических лиц» в 2015 году. Из них около 7 тысяч это заявления о регистрации юридического лица при создании. ФНС России подвела итоги работы сервисов «Электронная регистрация».