BlackEnergy APT Attacks in Ukraine

病毒定义

病毒类型：间谍软件、高级持续性威胁 (APT)、特洛伊木马

什么是 BlackEnergy？

BlackEnergy 是一种用于执行 DDoS 攻击、网络间谍及信息破坏攻击的特洛伊木马。大约在 2014 年，一个由特定用户组成的 BlackEnergy 攻击者小组开始向全球范围内的 ICS（工业控制系统）和能源市场中的受害者部署与 SCADA 相关的插件。其所体现出的独特技能远超僵尸网络攻击者的平均水平。

自 2015 年年中起，BlackEnergy APT 小组一直积极使用载有带宏命令的恶意 Excel 文档的鱼叉式网络钓鱼电子邮件来感染目标网络中的计算机。但今年一月份，卡巴斯基实验室的研究人员发现了一种新的恶意文档，其目标是感染已植入 BlackEnergy 特洛伊木马的系统。不同于此前攻击中所使用的 Excel 文档，这次使用的是 Microsoft Word 文档。

一旦打开该文档，用户就会看到一个会话，建议其启用宏以查看文档内容。启用宏便会触发 BlackEnergy 恶意软件并受到感染。

谁是其攻击的受害者？

BlackEnergy APT 小组活跃于以下领域：

乌克兰的工业控制系统、能源、政府和媒体
全球各地的工业控制系统/SCADA 公司
全球各地的能源公司

我有遭受攻击的危险吗？

该小组的主要攻击目标是乌克兰的实体，特别是能源领域、政府和媒体方面的实体。此外，它还会攻击全球各地的工业控制系统/SCADA 及能源公司。如果您在此类组织中工作、拥有此类组织或与之有合作关系，那么您就有遭受攻击的危险。

如何判断我是否受到了感染？

卡巴斯基实验室的产品能够检测出 BlackEnergy 所使用的多种特洛伊木马：

Backdoor.Win32.Blakken
Backdoor.Win64.Blakken
Backdoor.Win32.Fonten
Heur:Trojan.Win32.Generic

有关感染指标可在 Securelist 上的博文中找到。

如何保护自己？

仅有标准的反恶意软件解决方案是不够的。要阻止 BlackEnergy 恶意软件的攻击，卡巴斯基实验室建议使用结合以下内容的多重防护手段：

管理帐户操作系统和基于网络的措施；
安全控制和漏洞评估/补丁管理系统
应用程序控制
基于白名单的控制方法
基于电子邮件的鱼叉式网络钓鱼
网络安全意识培训（员工培训）

卡巴斯基解决方案：