Вирус начали маскировать в документах Word
Kaspersky Lab зафиксировала ранее неизвестный способ атак российской кибергруппировки BlackEnergy - с использованием Word-документов, сообщает "РБК-Украина".
"Эксперты обнаружили фишинговую рассылку, которая использовалась в атаках на один из украинских телеканалов. Ранее BlackEnergy атаковала крупные предприятия в Украине с использованием Excel и PowerPoint документов. Мы предполагали, что дело дойдет и до Word, и наши подозрения оправдались. Макросы в Word действительно все чаще используются для проведения целевых атак. Например, недавно мы видели это у группировки Turla. К сожалению, растущая популярность этого метода свидетельствует о его успешности", - отметил руководитель глобального центра исследований и анализа угроз Kaspersky Lab Костин Райю.
Что BlackEnergy начал использовать вредоносные вложения Word, стало известно в январе 2016 года. Получая такой документ, пользователь видит уведомление о необходимости подключить макрос для просмотра содержимого. Выполнение этой рекомендации приводит к запуску в системе "троянца" BlackEnergy. Активированный на компьютере жертвы зловред посылает данные о зараженном устройстве - в том числе, скорее всего, и номер ID - на командный сервер. В зараженную систему затем могут быть внедрены и другие вредоносные модули с различными функциями, от кибершпионажа до уничтожения данных.
Отмечается, что документ, проанализированный Kaspersky Lab, содержит идентификатор 301018stb, где stb может означать украинский телеканал СТБ, который уже становился жертвой BlackEnergy в октябре 2015 года.
Сообщение, которое выбрасывает вирус пользователю
Кибергруппировка BlackEnergy попала в поле зрения Kaspersky Lab в 2014 году. Тогда она проводила атаки на энергетические компании и промышленные системы управления по всему миру с использованием плагинов, нацеленных на SCADA-системы. Эксперты пришли к выводу, что особенно группировку интересуют соответствующие объекты в Украине, а также украинские госучреждения и СМИ.
Изначально проводя целевые атаки с помощью DDoS-инструментов, позднее BlackEnergy расширила свой арсенал и осуществила ряд геополитических операций, например, атаки на несколько объектов критической инфраструктуры в Украине в конце 2015 года.