網(wǎng)絡(luò)木馬變身模塊化惡意軟件
惡意軟件編寫者們已經(jīng)開始利用一套后門組合從烏克蘭媒體及能源企業(yè)的磁盤當(dāng)中清除數(shù)據(jù)
Eset公司安全威脅主管Anton Cherepanov指出,惡意軟件編寫者們正利用BlackEnergy木馬的新型KillDisk組件對烏克蘭境內(nèi)多個未知機構(gòu)進行攻擊,且總計銷毀了約4000種不同類型文件并導(dǎo)致相關(guān)設(shè)備無法重啟。
這批攻擊者們將矛頭指向特定文件及文檔,據(jù)猜測記者及其他媒體工作人員可能將新聞內(nèi)容通過這些文件保存在設(shè)備當(dāng)中。
Cherepanov指出,攻擊者們已經(jīng)設(shè)置了一種延時執(zhí)行命令,能夠?qū)?5種文件類型加以清除,此外還針對其它Windows日志及設(shè)置文件,并會覆蓋某些特定工業(yè)控制軟件的可執(zhí)行文件。
“ESET公司最近發(fā)現(xiàn)BlackEnergy木馬被作為后門加以使用,而其中的破壞性KillDisk組件則用于實施針對烏克蘭各新聞媒體企業(yè)及電力供給行業(yè)的攻擊,”Cherepanov解釋稱。
這位研究員同時發(fā)現(xiàn),此前曾有一批攻擊者利用尚未查明的SSH后門作為BlackEnergy的替代方案,旨在訪問受感染系統(tǒng)。
相關(guān)參與人員的身份證號碼可能與俄羅斯存在關(guān)聯(lián),不過ESET方面并未確認(rèn)其具體歸屬地。
BlackEnergy最初于2007年被發(fā)現(xiàn),其間經(jīng)歷了功能升級并借此由單純的分布式拒絕服務(wù)攻擊惡意軟件轉(zhuǎn)化為技術(shù)水平較高的模塊化木馬。
根據(jù)ESET公司的說明,已經(jīng)查明有位于烏克蘭及波蘭的多個目標(biāo)受到已知及未知安全漏洞及向量的攻擊影響。
這款攻擊軟件能夠安裝rootkit并抵御Windows內(nèi)置的用戶訪問控制與驅(qū)動程序簽名要求的阻攔。