Kaspersky Lab scopre la campagna di spear-phishing BlackEnergy

kaspersky_blackenergy

Il Global Research and Analysis Team di Kaspersky Lab ha scoperto segni di attacchi precedentemente sconosciuti lanciati dal gruppo APT di lingua russa BlackEnergy

BlackEnergy è un gruppo criminale altamente dinamico e gli ultimi attacchi in Ucraina dimostrano che le loro azioni distruttive sono all’ordine del giorno, insieme alla compromissione di installazioni per il controllo industriale e alle attività di cyber spionaggio. Inizialmente attivo nel DDoS, BlackEnergy si è espanso, aumentando la raccolta di tool. Questi ultimi sono stati utilizzati in varie attività di tipo APT, tra cui operazioni geopolitiche, come un’ondata di attacchi verso gli operatori di numerosi settori critici in Ucraina alla fine del 2015.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Nonostante sia stato scoperto diverse volte, BlackEnergy continua la sua attività e costituisce un pericolo significativo.

Fino a metà 2015, il gruppo APT BlackEnergy ha attivamente utilizzato email di spear-phishing contenenti file Excel nocivi con macro per infettare i computer del network preso di mira. Tuttavia, a gennaio di quest’anno, i ricercatori di Kaspersky Lab hanno scoperto un nuovo documento nocivo che infetta il sistema con un Trojan BlackEnergy. Contrariamente ai file Excel utilizzati nei precedenti attacchi, in questo caso si trattava di un documento Word.

Dopo aver aperto il documento, si presenta all’utente una finestra di dialogo che consiglia di abilitare le macro per vederne il contenuto. Abilitando le macro, si avvia l’infezione del malware BlackEnergy.

Una volta attivato nel computer della vittima, il malware invia informazioni base sulla macchina infettata al suo server di commando e controllo (C&C). Uno dei campi della connessione C&C inviato dal programma nocivo contiene una stringa che sembra riferirsi all’ID della vittima. Il documento analizzato dai ricercatori di Kaspersky Lab contiene l’identificatore “301018stb”, dove “stb” potrebbe riferirsi all’emittente televisiva ucraina “STB”, che è stata precedentemente elencata tra le vittime degli attacchi BlackEnergy Wiper a ottobre 2015.

Leggi anche:  No trust zone. Cybersecurity a logica zero

In seguito all’infezione, possono venire scaricati ulteriori moduli nocivi. A seconda della versione del Trojan utilizzata, potrebbero cambiare le funzioni di questo ulteriore payload, che vanno dal cyber spionaggio alla cancellazione dei dati.

“In passato, abbiamo visto il gruppo BlackEnergy prendere di mira enti ucraini usando file Excel e PowerPoint. Ci attendevamo anche l’utilizzo di documenti Word e questa scoperta non fa che confermare i nostri sospetti. In generale, vediamo l’uso di documenti Word con macro diventare sempre più diffusi negli attacchi APT. Abbiamo ad esempio recentemente visto il gruppo APT Turla usare documenti con macro per lanciare attacchi simili. Crediamo quindi che molti di questi attacchi abbiano successo e che proprio per questo la loro popolarità sia cresciuta”, ha commentato Costin Raiu, Direttore del Global Research & Analysis Team di Kaspersky Lab.