病毒定义

病毒类型:间谍软件、高级持续性威胁 (APT)、特洛伊木马

什么是 BlackEnergy?

BlackEnergy 是一种用于执行 DDoS 攻击、网络间谍及信息破坏攻击的特洛伊木马。大约在 2014 年,一个由特定用户组成的 BlackEnergy 攻击者小组开始向全球范围内的 ICS(工业控制系统)和能源市场中的受害者部署与 SCADA 相关的插件。其所体现出的独特技能远超僵尸网络攻击者的平均水平。

自 2015 年年中起,BlackEnergy APT 小组一直积极使用载有带宏命令的恶意 Excel 文档的鱼叉式网络钓鱼电子邮件来感染目标网络中的计算机。但今年一月份,卡巴斯基实验室的研究人员发现了一种新的恶意文档,其目标是感染已植入 BlackEnergy 特洛伊木马的系统。不同于此前攻击中所使用的 Excel 文档,这次使用的是 Microsoft Word 文档。

一旦打开该文档,用户就会看到一个会话,建议其启用宏以查看文档内容。启用宏便会触发 BlackEnergy 恶意软件并受到感染。

谁是其攻击的受害者?

BlackEnergy APT 小组活跃于以下领域:

  • 乌克兰的工业控制系统、能源、政府和媒体
  • 全球各地的工业控制系统/SCADA 公司
  • 全球各地的能源公司

我有遭受攻击的危险吗?

该小组的主要攻击目标是乌克兰的实体,特别是能源领域、政府和媒体方面的实体。此外,它还会攻击全球各地的工业控制系统/SCADA 及能源公司。如果您在此类组织中工作、拥有此类组织或与之有合作关系,那么您就有遭受攻击的危险。

如何判断我是否受到了感染?

卡巴斯基实验室的产品能够检测出 BlackEnergy 所使用的多种特洛伊木马:

  • Backdoor.Win32.Blakken
  • Backdoor.Win64.Blakken
  • Backdoor.Win32.Fonten
  • Heur:Trojan.Win32.Generic

有关感染指标可在 Securelist 上的博文中找到。

如何保护自己?

仅有标准的反恶意软件解决方案是不够的。要阻止 BlackEnergy 恶意软件的攻击,卡巴斯基实验室建议使用结合以下内容的多重防护手段:

  • 管理帐户操作系统和基于网络的措施;
  • 安全控制和漏洞评估/补丁管理系统
  • 应用程序控制
  • 基于白名单的控制方法
  • 基于电子邮件的鱼叉式网络钓鱼
  • 网络安全意识培训(员工培训)

卡巴斯基解决方案: