乌克兰电网攻击第二季 新一轮攻击拉开帷幕

微步在线近日捕获的威胁信息表明：新的一波攻击已经悄然开始，这次的攻击对象是乌克兰多家股份制电力公司。攻击者伪装成乌克兰国家电力公司定向发送精心伪装的邮件，内容极具迷惑性，而且此次使用的木马并非臭名昭著的BlackEnergy。

一、攻击过程及方式

2016年1月19日下午16:51和16:56分”改为 “2016年1月19日下午乌克兰当地时间16:51和16:56分，两封号称从: "Ukrenergo" < class="__cf_email__" href="/cdn-cgi/l/email-protection" data-cfemail="3851565e57784d534a5d565d4a5f57165d565d4a5f41165f574e164d59">发送至 class="__cf_email__" href="/cdn-cgi/l/email-protection" data-cfemail="d8b1b3bb98b7bab4f6bbb3f6bdb6bdaabfa1f6bfb7aef6adb9"和 class="__cf_email__" href="/cdn-cgi/l/email-protection" data-cfemail="c0b3b080b2a4a3eea3a5aeb4b2a5eea5aea5b2a7b9eea7afb6eeb5a1"的电子邮件拉开了攻击序幕。攻击邮件来自时区 (UTC-08：00)， 攻击者伪装成来自乌克兰国有电力公司UKrenergo，攻击对象分别为乌克兰切尔卡瑟地区电力公司Cherkasyoblenergo的信息咨询处，和国有电力公司Ukrenergo下属机构Central EnergySystem of SE的Kondrashov Alexander，后者的职务是分站主任（Chief of substations of Central ES )。

微步在线分析发现，此次攻击属于典型的鱼叉式攻击: 有针对性的发送邮件，并加入一个名为Ocenka.xls的恶意Excel文件为附件，并在该文件中植入恶意宏代码。

class="fancybox_content" href="/uploads/images/2016/174/liEvDGuD3Gm4Q.jpg?rand=97" 

鱼叉式钓鱼攻击邮件原文截图

利用邮件中包含的一副图片(托管在远程服务器62.210.83.213上的 PNG文件)，攻击者可以实时掌握邮件的投递状态，包括是否有人打开了这封邮件，以及打开者的IP地址等信息。

class="fancybox_content" href="/uploads/images/2016/214/liI2WisXkIzAQ.jpg?rand=198"

邮件正文内容是乌克兰文，内容大致翻译如下：

“根据乌克兰法律”运营乌克兰电力市场的原则“以及”未来十年乌克兰联合能源系统的订单准备系统运营商发展计划“，经乌克兰煤炭工业能源部批准的No.680 20140929系统运营商，在其官方网站发布。主题是：“乌克兰2016年至2025年联合能源系统发展规划”。

发展规划具体内容草案在邮件附件中

“根据预备流程的第五章规定，将于2016年1月20日下午2点在750 kV基辅会议室（基辅区、马卡罗夫区、体育nalyvaykivka圣十月，112-B）将举行听证会，对发展计划的征求意见稿进行意见反馈。”

点击打开附件Excel表格：

class="fancybox_content" href="/uploads/images/2016/31/li35MGCzEQ4DE.jpg?rand=143"

在线翻译大致内容如下：

“发电量评估和优化的必要性“

“乌克兰联合能源系统结合热，核能，水力，风能和太阳能发电站的总容量并行运行，截至2015年12月31日，年总量达55468万千瓦（不含经济特区“克里米亚”的发电设施）”。

整个文件中较醒目的信息是“重要提示”。巧妙得诱骗用户开启宏功能，而这项功能在微软Office软件中默认是关闭的。这也是受害者终端的较后一道防线。这段重要提示的内容是：“请注意！本文件创建于新版本的Office软件中。如需展示文件内容，需要开启宏。”Excel自身的安全警示与这硕大的提示信息相比黯然失色，受害者毅然点击了上方开启宏的按钮。

二、恶意负载分析

用户开启宏之后，嵌入在文件中的恶意宏代码就会被执行。一个名为test_vb.exe的木马下载器被创建，保存在系统％TEMP％目录下被执行。宏源名称是“ЭтаКнига”在俄语中的意思为“这本书”。

class="fancybox_content" href="/uploads/images/2016/9/li7DDx0taISYI.jpg?rand=125"

test_vb.exe执行后，试图从hxxp://193.239.152.131/8080/templates/compiled/synio/root.cert上下载程序，然后将其另存为iesecurity.exe文件，放在%appdata% 文件夹下执行。

iesecurity.exe是一个用Python编写的后门，是开源木马GCAT（https://github.com/byt3bl33d3r/gcat）的定制版本，通过Python安装程序转换成可执行PE文件。

GCAT后门使用Gmail作为命令和控制服务器，给客户端发送指令。该控制服务器在此次攻击中使用的邮箱地址是 class="__cf_email__" href="/cdn-cgi/l/email-protection" data-cfemail="7b280f1e1d1a15550c171012123b1c161a121755181416"

class="fancybox_content" href="/uploads/images/2016/131/liqBKoaFwm9sY.jpg?rand=158"

经测试，此邮箱已被Google冻结。

定制的后门程序可以按照Gmail 邮件发来的指令在客户端远程执行提供的任意命令，包括下载文件。

class="fancybox_content" href="/uploads/images/2016/239/liksBU8eeiAds.jpg?rand=119"

三、威胁情报共享

可机读攻陷指标（IOC）:

Ocenka.xls:B209A3EB543622195E13CE32490189F1

(VirusBook链接：

https://www.virusbook.cn/view_report/scan/0bb5e98f77e69d85bf5068bcbc5b5876f8e5855d34d9201d1caffbf83460cccc-1453977855488)

class="fancybox_content" href="/uploads/images/2016/3/libsGf6VeNSg6.jpg?rand=20" 

Test_vb.exe:057D6A1F26C102187D90B5AD43741CC7

(VirusBook链接：

https://www.virusbook.cn/view_report/scan/43b69a81693488905ef655d22e395c3f8dee2486aba976d571d3b12433d10c93-1453977898349)

class="fancybox_content" href="/uploads/images/2016/218/liBhCj9yj3zkw.jpg?rand=79"

class="fancybox_content" href="/uploads/images/2016/48/li10w3si9NYQE.jpg?rand=69"

Iesecurity.exe:6903A0CE131CF0E1B105EC844E846173

(VirusBook链接: https://www.virusbook.cn/view_report/scan/54517e2a85509bc7109b7befd7151a058c1b0cc90d38d19dad189f308fc9f3c7-1453977997975)

class="fancybox_content" href="/uploads/images/2016/215/liRPSKuHXB0GU.jpg?rand=165"

class="fancybox_content" href="/uploads/images/2016/216/liKeFI1CBo3M.jpg?rand=74" 

远控服务器IP (c&c):

62.210.83.213

193.239.152.131