病毒定义
病毒类型:间谍软件、高级持续性威胁 (APT)、特洛伊木马
什么是 BlackEnergy?
BlackEnergy 是一种用于执行 DDoS 攻击、网络间谍及信息破坏攻击的特洛伊木马。大约在 2014 年,一个由特定用户组成的 BlackEnergy 攻击者小组开始向全球范围内的 ICS(工业控制系统)和能源市场中的受害者部署与 SCADA 相关的插件。其所体现出的独特技能远超僵尸网络攻击者的平均水平。
自 2015 年年中起,BlackEnergy APT 小组一直积极使用载有带宏命令的恶意 Excel 文档的鱼叉式网络钓鱼电子邮件来感染目标网络中的计算机。但今年一月份,卡巴斯基实验室的研究人员发现了一种新的恶意文档,其目标是感染已植入 BlackEnergy 特洛伊木马的系统。不同于此前攻击中所使用的 Excel 文档,这次使用的是 Microsoft Word 文档。
一旦打开该文档,用户就会看到一个会话,建议其启用宏以查看文档内容。启用宏便会触发 BlackEnergy 恶意软件并受到感染。
谁是其攻击的受害者?
BlackEnergy APT 小组活跃于以下领域:
- 乌克兰的工业控制系统、能源、政府和媒体
- 全球各地的工业控制系统/SCADA 公司
- 全球各地的能源公司
我有遭受攻击的危险吗?
该小组的主要攻击目标是乌克兰的实体,特别是能源领域、政府和媒体方面的实体。此外,它还会攻击全球各地的工业控制系统/SCADA 及能源公司。如果您在此类组织中工作、拥有此类组织或与之有合作关系,那么您就有遭受攻击的危险。
如何判断我是否受到了感染?
卡巴斯基实验室的产品能够检测出 BlackEnergy 所使用的多种特洛伊木马:
- Backdoor.Win32.Blakken
- Backdoor.Win64.Blakken
- Backdoor.Win32.Fonten
- Heur:Trojan.Win32.Generic
有关感染指标可在 Securelist 上的博文中找到。
如何保护自己?
仅有标准的反恶意软件解决方案是不够的。要阻止 BlackEnergy 恶意软件的攻击,卡巴斯基实验室建议使用结合以下内容的多重防护手段:
- 管理帐户操作系统和基于网络的措施;
- 安全控制和漏洞评估/补丁管理系统
- 应用程序控制
- 基于白名单的控制方法
- 基于电子邮件的鱼叉式网络钓鱼
- 网络安全意识培训(员工培训)
