當心! BlackEnergy木馬程式出現Word新包裝

william77

駭客過去是以PowerPoint或Excel檔案作為藏匿BlackEnergy的媒介，當受害者啟用Excel文件的巨集功能後，就會在電腦上安裝BlackEnergy木馬，卡巴斯基在烏克蘭的系統中發現BlackEnergy透過Word文件散布。

資安業者卡巴斯基實驗室（Kaspersky Lab）本周解析了被懷疑與日前造成烏克蘭停電事件有關的木馬程式BlackEnergy，指出BlackEnergy跳脫了原本藏匿在微軟Excel或PowerPoint檔案中的行徑，改以Word檔案作為棲身之所。
BlackEnergy木馬程式最早出現在2007年，在作者賣掉了BlackEnergy原始碼之後，一度被各方駭客用來作為DDoS的攻擊工具，然而，資安業者在2014年發現有一駭客集團利用BlackEnergy攻擊工業控制系統（ICS）與能源系統，以蒐集資料並進行監控，讓BlackEnergy升級為先進持續威脅（Advanced Persistent Threat，APT）工具。
該駭客集團最主要的攻擊目標為烏克蘭，在2014年到2015年間烏克蘭陸續傳出數起遭到BlackEnergy攻擊的報告，駭客過去是以PowerPoint或Excel檔案作為藏匿BlackEnergy的媒介，當受害者啟用Excel文件的巨集功能後，就會在電腦上安裝BlackEnergy木馬，不過，這次出現在烏克蘭系統上的BlackEnergy卻是透過Word文件散布。
基本上，只要是具備巨集功能的檔案，不論是PowerPoint、Excel或Word，都可成為BlackEnergy的宿主。
美國國土安全局旗下的工業控制系統電腦緊急應變中心（ICS-CERT）、美國電腦緊急應變中心（US-CERT）與烏克蘭緊急電腦應變中心（Ukrainian CERT）正聯手調查去年12月23日的烏克蘭停電事件，他們的確在烏克蘭系統上發現了BlackEnergy，但迄今仍無法證實停電就是BlackEnergy造成的。
卡巴斯基實驗室則提醒，BlackEnergy是個高度活躍的攻擊威脅，除了危害工業控制系統及間諜行動之外，駭客集團的主要目的就是為了破壞。駭客的攻擊目標除了烏克蘭的工業控制系統、能源、政府及媒體之外，可能也會擴及全球的工業控制/資料蒐集暨監控（SCADA）企業，或是全球的能源企業，因而建議相關組織在設計安全防禦架構時應將BlackEnergy納入考慮。