近日,安全公司 ESET 发布研究报告称,一种名为 TeleBots 的新恶意软件针对乌克兰金融行业进行攻击,通过鱼叉式网络钓鱼攻击传递恶意 Excel 文档感染计算机。据 ESET 分析 TeleBots 背后团队的作案方式与 2016 年初乌克兰电网被黑的手法非常相似,甚至怀疑 BlackEnergy 团队已经转变成了 TeleBots 团队。
ESET 报告显示,攻击者会将带有恶意宏的 Excel 作为初始媒介附在电子邮件中,通过鱼叉式网络钓鱼攻击目标电脑、自动下载恶意软件,同时进一步感染系统、盗取文件甚至渗透整个网络。攻击者能够从电脑中获取想要的任何信息。
ESET 研究员透露 “攻击者利用 excel 执行宏主要是为了通过 explorer.exe 获取木马下载器、使目标感染其他恶意软件。这个木马下载器由 rust 语言编写” 。
TeleBots 会使系统无法开机
此时受害者电脑中会存在一种 Python 编写的 “Python/TeleBot.AA” 后门,这是 TeleBots 的主要部分, “TeleBots” 之名也因此得来。攻击者还会在系统中部署 BlackEnergy 的 KillDisk 组件,使计算机或其中关键系统无法正常启动。
BlackEnergy 和 TeleBots 恶意宏代码的相似之处
系统感染 TeleBots 后,KillDisk 组件便会删除系统文件并将开机页面改为 Mr. Robot 的电视节目画面。
报告指出,KillDisk 本身并不存储这张图片,而是利用 Windows GDI 实时画出了这幅图。很显然,攻击者也是投入了大量精力在编写这段绘制图片的代码上。
俄罗斯黑客或是幕后黑手?
目前 TeleBots 的感染范围尚未可知。安全公司在溯源过程中发现可与 TeleBots 进行通讯的 BCS 服务器,其中包含部分俄语说明文档,俄罗斯黑客也一度被怀疑是幕后黑手。
稿源:本站翻译整理, 封面:百度搜索
请登录后发表评论
注册