MEDIA & MARKETING, NEW MEDIA

Campanie de phishing impotriva unui post de televiziune din Ucraina

29 ianuarie 2016, ora 16:43 
Aboneaza-te la: RSS   Trimite prin: LinkedIn
kaspersky.jpg
Kaspersky Lab a identificat semne ale unor atacuri nemaiîntâlnite până acum, din partea grupării APT de limbă rusă BlackEnergy.

Un document de tip phishing găsit de exper
ții companiei menționează un membru al unui partid naționalist de extremă dreapta din Ucraina, Sectorul de Dreapta, și pare să fi fost folosit într-un atac împotriva unui popular canal de televiziune din Ucraina.

BlackEnergy este un actor foarte dinamic în peisajul amenințărilor și ultimele atacuri din Ucraina indică faptul că plănuiesc alte acțiuni distructive, pe lângă compromiterea unor instalații industriale de control și activități de spionaj cibernetic. Inițial utilizatoare a instrumentelor de atac de tip DDoS (Distributed Denial of Service), gruparea BlackEnergy și-a dezvoltat ulterior numeroase alte instrumente.

Acestea au fost utilizate în diferite activită
ți de tip APT, inclusiv operațiuni geopolitice, cum ar fi atacuri asupra câtorva sectoare critice din Ucraina, la sfârșitul anului 2015.  

În ciuda faptului că a fost descoperit de mai multe ori, grupul BlackEnergy își continuă activitățile periculoase.  

De la mijlocul anului 2015, gruparea APT BlackEnergy a folosit email-uri de phishing cu documente Excel dăunătoare, conținând elemente macro, pentru a infecta computerele dintr-o rețea vizată. În luna ianuarie a acestui an, cercetătorii Kaspersky Lab au descoperit un nou document infectat, care introduce în sistem un troian BlackEnergy. Spre deosebire de celelalte dăți, acum era vorba de un document Microsoft Word.  

În momentul deschiderii documentului, utilizatorului îi apare o căsuță de dialog cu recomandarea ca elementele macro să fie activate pentru a putea vizualiza conținutul, ceea ce declanșează infectarea malware BlackEnergy.  

Odată activat în computerul victimei, programul malware trimite informa
ții de bază despre acesta la serverul de comandă și control (C&C).

Unul dintre câmpurile din conexiunea C&C trimisă de programul malware con
ține pare să se refere la ID-ul victimei. Documentul analizat de cercetătorii Kaspersky Lab conține elementul de identificare “301018stb”, unde “stb” s-ar putea referi la postul ucrainian de televiziune “STB”.

Acest post de televiziune a fost anterior victimă a atacurilor BlackEnergy Wiper, în octombrie 2015.
 

După această etapă, pot fi descărcate mai multe module malware. În funcție de versiunea de troian folosit, poate fi vorba de mai multe acțiuni, de la spionaj cibernetic până la scurgeri de date.  

“Până acum am văzut grupul BlackEnergy atacând entități din Ucraina cu documente Excel și Power Point”, a spus Costin Raiu, Director al Global Research & Analysis Team, la Kaspersky Lab. “Ne așteptam să folosească și documente Word, așa că acum suspiciunile noastre sunt confirmate. În general, începem să vedem că documentele Word cu elemente macro devin tot mai populare în atacurile de tip APT. De exemplu, am observat recent că grupul APT Turla folosește documente cu macro pentru a lansa atacuri similare. Suntem, astfel, îndreptățiți să credem că aceste atacuri sunt reușite și de aceea le crește popularitatea.  

Gruparea APT BlackEnergy a atras atenția Kaspersky Lab în anul 2014, când a început să lanseze atacuri în zona SCADA (Supervisory Control and Data Acquisition) împotriva unor victime din sectoarele energetic și ICS (Industrial Control Systems) din toată lumea.
Comentariile acestui material
 
Numele complet:*
ex: Ion Popescu
Adresa de email:*
ex: ipopescu@yahoo.com
Site personal:
ex: http://www.dailybusiness.ro/
Comentariul tau:*
ATENTIE! Camp obligatoriu.
 
 
 
Steliana Rizeanu
Clinica Aquamarin in colaborare cu Centrul de formare Eurostudy va invita la un curs de formator autorizat acreditat CNFPA; participantii la curs...
Steliana Rizeanu
Clinica Aquamarin in colaborare cu Centrul de formare Eurostudy va invita la un curs de formator autorizat acreditat CNFPA; participantii la curs...
Steliana Rizeanu
Clinica Aquamarin in colaborare cu Centrul de formare Eurostudy va invita la un curs de formator autorizat acreditat CNFPA; participantii la curs...
Sambata, 30 Iulie 2016, 06:22
Alegeti frecventa cu care doriti sa primiti newsletterul:
Adresa dvs. de email:
Abonati-va la newsletter