Хакерская группировка, стоящая за Black Energy, сменила тактику и начала распространять данный троян через письма с вредоносным вложением в виде документа Microsoft Word. Специалисты глобального исследовательского центра “Лаборатории Касперского” (GReAT) обнаружили вредоносный документ Word, распространявшийся в рамках текущей атаки на критические объекты Украины.
Предположительно, русскоязычная группировка Black Energy является организатором кибератак на энергетические компании Украины, осуществленные в декабре прошлого года. По мнению экспертов, в данном случае целью злоумышленников являлся популярный украинский телеканал “СТБ”.
С середины 2015 г. Black Energy в основном распространялся через документы Microsoft Excel и PowerPoint. Теперь злоумышленники решили опробовать новый вектор атаки. Как показал анализ, при открытии вредоносного Word-документа на экране отображается рекомендация включить макросы. Следование данной подсказке приведет к запуску скрипта, инициирующего загрузку Black Energy.
Согласно отчету компании SentinelOne, атаки Black Energy – работа инсайдеров. По данным специалистов, вариант Black Energy 3 эксплуатирует уязвимость в Office 2013, позволяющую удаленно выполнить произвольный код. Данная проблема была устранена некоторое время назад. Атака будет успешной только в случае, если на целевом компьютере установлена неисправленная версия ПО или сотрудник преднамеренно (или случайно) откроет инфицированный Excel-документ.
По мнению экспертов, данная модификация трояна уже присутствует на системах промышленного управления по всей Украине. В дальнейшем вредоносное ПО может использоваться для осуществления атак на объекты критической инфраструктуры, системы управления транспортом и организации здравоохранения. (Касперский/NovostIT)