網(wǎng)絡(luò)木馬變身模塊化惡意軟件
惡意軟件編寫(xiě)者們已經(jīng)開(kāi)始利用一套后門(mén)組合從烏克蘭媒體及能源企業(yè)的磁盤(pán)當(dāng)中清除數(shù)據(jù)
Eset公司安全威脅主管Anton Cherepanov指出�����,惡意軟件編寫(xiě)者們正利用BlackEnergy木馬的新型KillDisk組件對(duì)烏克蘭境內(nèi)多個(gè)未知機(jī)構(gòu)進(jìn)行攻擊��,且總計(jì)銷(xiāo)毀了約4000種不同類(lèi)型文件并導(dǎo)致相關(guān)設(shè)備無(wú)法重啟�����。
這批攻擊者們將矛頭指向特定文件及文檔����,據(jù)猜測(cè)記者及其他媒體工作人員可能將新聞內(nèi)容通過(guò)這些文件保存在設(shè)備當(dāng)中�。
Cherepanov指出,攻擊者們已經(jīng)設(shè)置了一種延時(shí)執(zhí)行命令��,能夠?qū)?5種文件類(lèi)型加以清除�����,此外還針對(duì)其它Windows日志及設(shè)置文件,并會(huì)覆蓋某些特定工業(yè)控制軟件的可執(zhí)行文件�。
“ESET公司最近發(fā)現(xiàn)BlackEnergy木馬被作為后門(mén)加以使用,而其中的破壞性KillDisk組件則用于實(shí)施針對(duì)烏克蘭各新聞媒體企業(yè)及電力供給行業(yè)的攻擊��,”Cherepanov解釋稱(chēng)���。
這位研究員同時(shí)發(fā)現(xiàn)��,此前曾有一批攻擊者利用尚未查明的SSH后門(mén)作為BlackEnergy的替代方案����,旨在訪問(wèn)受感染系統(tǒng)����。
相關(guān)參與人員的身份證號(hào)碼可能與俄羅斯存在關(guān)聯(lián)���,不過(guò)ESET方面并未確認(rèn)其具體歸屬地�����。
BlackEnergy最初于2007年被發(fā)現(xiàn)��,其間經(jīng)歷了功能升級(jí)并借此由單純的分布式拒絕服務(wù)攻擊惡意軟件轉(zhuǎn)化為技術(shù)水平較高的模塊化木馬�。
根據(jù)ESET公司的說(shuō)明,已經(jīng)查明有位于烏克蘭及波蘭的多個(gè)目標(biāo)受到已知及未知安全漏洞及向量的攻擊影響���。
這款攻擊軟件能夠安裝rootkit并抵御Windows內(nèi)置的用戶(hù)訪問(wèn)控制與驅(qū)動(dòng)程序簽名要求的阻攔�����。
