С середины 2015 года Black Energy в основном распространялся через документы Microsoft Excel и PowerPoint. Теперь злоумышленники решили опробовать новый вектор атаки. Как показал анализ, при открытии вредоносного Word-документа на экране отображается рекомендация включить макросы. Следование данной подсказке приведет к запуску скрипта, инициирующего загрузку Black Energy.
По данным специалистов компании SentinelOne, вариант Black Energy 3 эксплуатирует уязвимость в Office 2013, позволяющую удаленно выполнить произвольный код. Данная проблема была устранена некоторое время назад. Атака будет успешной только в случае, если на целевом компьютере установлена неисправленная версия ПО или сотрудник преднамеренно (или случайно) откроет инфицированный Excel-документ.
По мнению экспертов, данная модификация трояна уже присутствует на системах промышленного управления по всей Украине. В дальнейшем вредоносное ПО может использоваться для осуществления атак на объекты критической инфраструктуры, системы управления транспортом и организации здравоохранения.
Напомним, ранее в январе была совершена кибератака на киевский аэропорт "Борисполь". IT-специалисты аэропорта обнаружили рабочую станцию компьютерной сети, которая была инфицирована вирусом Black Energy. Украинские власти заявили, что компьютерные системы "Борисполя" были атакованы с сервера, находящегося в России. В конце декабре об аналогичной атаке сообщала украинская "Прикарпатьеоблэнерго".