研究人员将工业公司链接到NotPetya

ESET研究人员认为,他们已经找到证据表明TeleBots 易于背后是2016年12月对乌克兰能源部门的袭击,该袭击导致全国停电:一个名为Exaramel的后门。

缺少的证据

通过APT组和他们部署的恶意软件,各个视音频供应商的名称有所不同,’有时很难遵循这些连接。

研究人员共享的这张图可以帮助:

工业界NotPetya链接

“我们已经观察到并记录了BlackEnergy彩票网app之间的联系,不仅是针对乌克兰电网的彩票网app,而且还针对各个部门和高价值目标的彩票网app,以及TeleBots集团针对乌克兰金融部门的一系列运动(主要是),” they shared.

“2017年6月,当全球许多大型公司受到Diskcoder.C勒索软件(aka 佩蒂亚NotPetya)(很可能是意外的附带损害),我们发现爆发是由受TeleBots后门困扰的公司开始蔓延的,这是由于流行的财务软件M.E.Doc。”

总是有猜测称,Industroyer彩票网app是由TeleBots(又名Sandworm)组织实施的,该组织被认为与2015年使用BlackEnergy恶意软件工具包的组织相同。但是,发现和分析使这种猜测变得相当可能。

“Win32 / Exaramel后门与Industroyer主后门之间的代码相似性很强,这是第一个公开发表的证据,表明将Industroyer与TeleBots关联,从而与NotPetya和BlackEnergy相关联,” the researchers 注意到的.

“尽管在尝试归因时应始终牢记错误标记(或其他威胁行为者共享代码的可能性)的可能性,但在这种情况下,我们认为这种可能性很小。”

ESET于2018年4月在非工业设施的组织中检测到Exaramel。

像往常一样,该公司选择不推测BlackEnergy / TeleBots小组是否从某个民族国家获得订单。

今年早些时候,美国 英国 澳大利亚正式表示,他们相信俄罗斯是“ NotPetya”袭击的幕后黑手。

分享这个