专栏首页FreeBuf乌克兰电网攻击第二季

乌克兰电网攻击第二季

一波未平,一波又起。2015年12月23日发生的由木马攻击引起的乌克兰电网电力中断,这是首次由恶意软件攻击导致国家基础设施瘫痪的事件,致使乌克兰城市伊万诺弗兰科夫斯克将近一半的家庭(约140万人)在2015年圣诞节前夕经历了数小时的电力瘫痪。这次事件使得工业控制系统的安全性问题受到重视。

微步在线近日捕获的威胁信息表明:新的一波攻击已经悄然开始,这次的攻击对象是乌克兰多家电力公司。攻击者伪装成乌克兰国家电力公司定向发送精心伪装的钓鱼邮件,且此次使用的木马并非BlackEnergy。

一、攻击方式

2016年1月19日下午16:51和16:56分,两封号称从: "Ukrenergo"发送至ikc@obl.ck.energy.gov.ua和sp@rdc.centre.energy.gov.ua的电子邮件拉开了攻击序幕。攻击者伪装成来自乌克兰国有电力公司UKrenergo,攻击对象分别为切尔卡瑟地区电力公司Cherkasyoblenergo的信息咨询处,和Ukrenergo下属机构Central Energy System of SE的Kondrashov Alexander,后者的职务是分站主任(Chief of substationsof Central ES )

微步在线分析发现,此次是采用通过发送钓鱼邮件的传统方式进行攻击。即在邮件中加入一个名为Ocenka.xls的恶意Excel文件为附件,并在该文件中植入恶意宏代码。

邮件包含一个托管在远程服务器62.210.83.213上的 PNG文件,用于报告电子邮件传递状态。

邮件正文内容是乌克兰文:

鱼叉式钓鱼攻击邮件原文截图

内容大致翻译如下:

“根据乌克兰法律”运营乌克兰电力市场的原则“以及”未来十年乌克兰联合能源系统的订单准备系统运营商发展计划“,经乌克兰煤炭工业能源部批准的No.680 20140929系统运营商,在其官方网站发布。主题是:“乌克兰2016年至2025年联合能源系统发展规划”。

发展规划具体内容草案在邮件附件中:

“根据预备流程的第五章规定,将于2016年1月20日下午2点在750 kV基辅会议室(基辅区、马卡罗夫区、体育nalyvaykivka圣十月,112-B)将举行听证会,对发展计划的征求意见稿进行意见反馈。”

点击附件是一个Excel文件,打开信息如下:

在线翻译大致内容如下:

发电量评估和优化的必要性 乌克兰联合能源系统结合热,核能,水力,风能和太阳能发电站的总容量并行运行,截至2015年12月31日,年总量达55468万千瓦(不含经济特区“克里米亚”的发电设施)

整个文件中最醒目的信息是“重要提示”。巧妙得诱骗用户开启宏功能,而这项功能在微软Office软件中默认是关闭的。这也是受害者终端的最后一道防线。这段重要提示的内容是:“请注意!本文件创建于新版本的Office软件中。如需展示文件内容,需要开启宏。”Excel自身的安全警示与这硕大的提示信息相比黯然失色,受害者毅然点击了上方开启宏的按钮。

二、恶意负载分析

用户开启宏之后,嵌入在文件中的恶意宏代码就会被执行。一个名为test_vb.exe的木马下载器被创建,保存在系统%TEMP%目录下被执行。宏源名称是“ЭтаКнига”在俄语中的意思为“这本书”。

test_vb.exe执行后,试图从链接文字hxxp://193.239.152.131/8080/templates/compiled/synio/root.cert上下载程序,然后将其另存为iesecurity.exe文件,放在%appdata% 文件夹下执行。

iesecurity.exe是一个后门,用Python编写,并通过Python安装程序转换成可执行PE文件的开源GCAT(https://github.com/byt3bl33d3r/gcat)的定制版本。

GCAT后门使用Gmail作为命令和控制服务器,给客户端发送指令。该控制器在此次攻击中的邮箱地址是Stefan.wlkii@gmail.com

经测试,此邮箱已被Google冻结。

定制的后门程序可以按照gmail 邮件发来的指令在客户端远程执行提供的shellcode,下载文件和强制主机登记。

三、威胁情报共享

可机读攻陷指标(IOC):

Ocenka.xls:B209A3EB543622195E13CE32490189F1

(VirusBook链接:https://www.virusbook.cn/view_report/scan/0bb5e98f77e69d85bf5068bcbc5b5876f8e5855d34d9201d1caffbf83460cccc-1453977855488)

Test_vb.exe:057D6A1F26C102187D90B5AD43741CC7

(VirusBook链接:https://www.virusbook.cn/view_report/scan/43b69a81693488905ef655d22e395c3f8dee2486aba976d571d3b12433d10c93-1453977898349)

Iesecurity.exe:6903A0CE131CF0E1B105EC844E846173

(VirusBook链接: https://www.virusbook.cn/view_report/scan/54517e2a85509bc7109b7befd7151a058c1b0cc90d38d19dad189f308fc9f3c7-1453977997975)

远控服务器IP:

62.210.83.213(法国,法兰西岛大区,塞纳河畔维提)

193.239.152.131( 乌克兰,乌克兰)

*本文作者:Threatbook(微步在线) ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-01-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 建立SSH之免密登陆

    纯手工打造每一篇开源资讯与技术干货,数十万程序员和Linuxer已经关注。 Linux技术交流QQ群:2659793(十二月最新!!) 以下进入正文 忽略ssh...

    企鹅号小编
  • 12月机器学习TOP 10文章,错过的快补课

    翻译 | AI科技大本营 编辑 |Donna Medium上的机器学习深度爱好者必关注的账号Mybridge照例对11月发表的学术论文进行了排名,整理出了10篇...

    企鹅号小编
  • 假日出行必备:专家解析如何在公共Wi-Fi网络下保护个人隐私

    “用指尖改变世界” ? 对于外出的我们来说,公共Wi-Fi网络在很多方面都是很棒的。因为它是免费的,能够节省我们很多的移动数据流量,并且提供更快的下载速度。 然...

    企鹅号小编
  • 如果你的 ElasticSearch服务器,也没有设置密码,也没有备份。那么请交出你的 BTC 吧~~

    上周发起了多起针对 MongoDB 的攻击事件,详情可以见我的另外一篇文章。由于使用 MongoDB 的人数量众多,一下子就引起敢关注,因此黑客们将目标转移向了...

    Phodal
  • 比特币存在的弊端,以特币全部解决了

    比特币自2009年发行以来,迅速火热起来,但是比特币的弊端也暴露无遗,而刚刚兴起的以特币却弥补了比特币的弊端。 1、比特币可能遭受黑客攻击。因为比特币的交易平台...

    企鹅号小编
  • 准备好迎接加密货币犯罪活动密集的2018年

    关注“科技金融在线”,了解第一手信息。 2018年是加密货币黑客的一年。 最近比特币突破19,000美元水平(尽管周五出现暴跌),以太币、莱特币、瑞波币等加密货...

    企鹅号小编
  • 电信诈骗吃掉大学生,年轻生命冤不冤?

    本文作者:安全平台部 chloehua(华珊珊)2015年入职腾讯,从事互联网安全工作,投身挖掘互联网黑色产业,探寻网络安全世界的风云变幻。 今年9月1日即将踏...

    腾讯技术工程官方号
  • 你的智能设备真的安全吗?

    作者介绍:《漏洞战争:软件漏洞分析精要》作者,2011年毕业于福建中医药大学中西医骨伤专业,在腾讯安全平台部主要从事安全应急响应工作,涉及终端安全、Web安全、...

    腾讯技术工程官方号
  • 给孩子挑礼物需谨慎:一个可爱的玩具可能把黑客带到你家

    “用指尖改变世界” ? My Friend Cayla是一款长发及腰的智能洋娃娃,由美国玩具公司Genesis Toys生产。它可以与孩子们进行对话,并能够记住...

    企鹅号小编
  • 赛门铁克:更多的网站被黑客挂上挖矿脚本!

    近年来,随着加密货币的价格被不断炒高,黑客们也动起了歪脑筋来获利。根据赛门铁克今日发布的一份报告,公共网站被黑客挂上挖矿脚本的情况有变得更加严重的趋势。 一旦运...

    企鹅号小编

扫码关注云+社区

领取腾讯云代金券