網(wǎng)絡(luò)木馬變身模塊化惡意軟件

[[161352]]

惡意軟件編寫者們已經(jīng)開始利用一套后門組合從烏克蘭媒體及能源企業(yè)的磁盤當(dāng)中清除數(shù)據(jù)

Eset公司安全威脅主管Anton Cherepanov指出，惡意軟件編寫者們正利用BlackEnergy木馬的新型KillDisk組件對(duì)烏克蘭境內(nèi)多個(gè)未知機(jī)構(gòu)進(jìn)行攻擊，且總計(jì)銷毀了約4000種不同類型文件并導(dǎo)致相關(guān)設(shè)備無法重啟。

這批攻擊者們將矛頭指向特定文件及文檔，據(jù)猜測(cè)記者及其他媒體工作人員可能將新聞內(nèi)容通過這些文件保存在設(shè)備當(dāng)中。

Cherepanov指出，攻擊者們已經(jīng)設(shè)置了一種延時(shí)執(zhí)行命令，能夠?qū)?5種文件類型加以清除，此外還針對(duì)其它Windows日志及設(shè)置文件，并會(huì)覆蓋某些特定工業(yè)控制軟件的可執(zhí)行文件。

“ESET公司最近發(fā)現(xiàn)BlackEnergy木馬被作為后門加以使用，而其中的破壞性KillDisk組件則用于實(shí)施針對(duì)烏克蘭各新聞媒體企業(yè)及電力供給行業(yè)的攻擊，”Cherepanov解釋稱。

這位研究員同時(shí)發(fā)現(xiàn)，此前曾有一批攻擊者利用尚未查明的SSH后門作為BlackEnergy的替代方案，旨在訪問受感染系統(tǒng)。

相關(guān)參與人員的身份證號(hào)碼可能與俄羅斯存在關(guān)聯(lián)，不過ESET方面并未確認(rèn)其具體歸屬地。

BlackEnergy最初于2007年被發(fā)現(xiàn)，其間經(jīng)歷了功能升級(jí)并借此由單純的分布式拒絕服務(wù)攻擊惡意軟件轉(zhuǎn)化為技術(shù)水平較高的模塊化木馬。

根據(jù)ESET公司的說明，已經(jīng)查明有位于烏克蘭及波蘭的多個(gè)目標(biāo)受到已知及未知安全漏洞及向量的攻擊影響。

這款攻擊軟件能夠安裝rootkit并抵御Windows內(nèi)置的用戶訪問控制與驅(qū)動(dòng)程序簽名要求的阻攔。