APT-группа, стоящая за BlackEnergy, начала распространять этого троянца через целевые письма с вредоносным вложением, оформленным в виде документа Microsoft Word. На прошлой неделе эксперты глобального исследовательского центра «Лаборатории Касперского» (GReAT) обнаружили вредоносный документ Word, который, похоже, является частью текущей атаки на критически важные объекты Украины.

По словам руководителя GReAT Костина Раю (Costin Raiu), русскоязычные участники данной APT-группы с середины 2015 года раздают BlackEnergy в основном через документы Excel, использование Word как вектора атаки для них нововведение.

Исследователи полагают, что целью атаки BlackEnergy в данном случае являлся украинский телеканал; в качестве приманки злоумышленники использовали документ, в котором упоминается националистическая партия Украины «Правый сектор».

Как показал анализ, результаты которого представлены в блоге Securelist, при открытии вредоносного Word-документа пользователю отображается рекомендация включить макросы. Если он последует этой подсказке, запустится скрипт, инициирующий заражение BlackEnergy.

По свидетельству Раю, в ходе тестирования вредоносный дроппер установил минималистичную модификацию троянца, которая посылает на C&C-сервер информацию о зараженной машине. Этот сервер по большей части недоступен или ограничивает подключения по IP-адресам, однако, используя редкий момент его активности, исследователям удалось расшифровать содержимое POST-запроса BlackEnergy.

Так, оказалось, что одно из полей запроса, b_gen, относится к ID мишени и равно 301018stb. «STB» может означать украинский телеканал СТБ, который уже подвергался атаке BlackEnergy ранее, в октябре прошлого года.

Использование макросов Microsoft Office для распространения зловредов — способ давно не новый и до недавних пор даже почти забытый, однако в последнее время в Сети наблюдается устойчивый рост такой вредоносной активности. С конца 2014 года эту технику взяли на вооружение распространители банкера Dridex и исправно проводят рассылки, используя для заражения вложенные XML-файлы и документы Word.

«Ранее группа BlackEnergy атаковала крупные предприятия на Украине с использованием Excel- и PowerPoint-документов, — рассказывает Раю. — Мы предполагали, что дело дойдет и до Word, и наши подозрения оправдались».

В отчете компании SentinelOne утверждается, что атаки BlackEnergy — работа инсайдеров и что одна из модификаций троянца уже присутствует в промышленных системах управления по всей Украине. Исследователи провели реверс-инжиниринг BlackEnergy 3 и настаивают на том, что зловред полагается на уязвимость в Office, датированную 2013 годом, а значит, ее уже многие пропатчили, и у зловреда мало шансов на исполнение, разве что инсайдер умышленно или случайно откроет зараженный Excel-документ.

BlackEnergy в том или ином виде существует с 2007 года, однако некоторые считают, что этот троянец по-настоящему набрал ход лишь семь лет спустя, когда обрел SCADA-плагины и начал использоваться в атаках на энергетические объекты как на Украине, так и по всему миру.

В октябре 2014 года американская ICS-CERT опубликовала предупреждение о BlackEnergy, найденном в ряде компаний, использующих подключенное к Интернету программное обеспечение HMI. В следующем месяце появился отчет GReAT по результатам анализа кастомных плагинов BlackEnergy, используемых для атак на системы SCADA и энергетические компании Восточной Европы, стран бывшего СНГ, Азии и Ближнего Востока.

В конце прошлого года троянец был замечен в нескольких атаках на критический сектор Украины. Этот факт был подвергнут сомнению, однако большинство исследователей сошлись во мнении, что атакующие использовали BlackEnergy 3, чтобы 23 декабря вывести из строя подстанции украинского поставщика «Прикарпатьеоблэнерго».

Раю со своей стороны отметил, что APT-группа, использующая BlackEnergy, значительно усовершенствовала свой инструмент, который еще полтора года назад был «сырым и полным багов». «Программа BlackEnergy является крайне динамичной угрозой, и недавние атаки на Украину показали, что ее основные цели — это разрушительные действия и промышленный шпионаж; кроме того, она стремится скомпрометировать системы промышленного управления», — заключает эксперт.

Категории: Аналитика, Вредоносные программы