高级持续性威胁（APT）黑客组织GreyEnergy多年来一直以乌克兰和东欧的工业网络系统为攻击目标。根据对该组织活动的分析，研究人员发现其攻击始于网络钓鱼电子邮件中发送的恶意文档。

“灰色能量”——“黑色能量”继任者

说起GreyEnergy，就不得不提另一个老牌黑客组织——BlackEnergy。BlackEnergy在2007年横空出世，因在2015年引发一场重大停电事故而名声大噪，而GreyEnergy的活动记录也同时出现，ESET安全研究人员已对其跟踪观察了三年。另外2015年同期出现了另一个组织TeleBots——可能是2017年策划大规模NotPetya病毒爆发的幕后黑手。研究人员认为GreyEnergy与破坏性强大的ICS（工业控制系统）恶意软件有关。ESET在上月发布的分析报告中提出，BlackEnergy已经演变为两个独立的组织：TeleBots和GreyEnergy。

过去三年中，ESET观察到GreyEnergy参与了对乌克兰和波兰的攻击，攻击类型主要是网络侦查（即间谍行为），GreyEnergy的网络攻击目标是这两个国家的能源部门、交通运输部门等高价值对象。

GreyEnergy的恶意软件具有模块化结构，这意味着其功能取决于运营者选择部署的模块。这些模块包括后门、文件提取、屏幕截图捕获、键盘记录、密码和凭证窃取以及其他功能。“我们没有观察到任何专门针对工业控制系统软件或设备的模块。但我们发现GreyEnergy攻击者一直在战略性地瞄准运行SCADA软件和服务器的ICS控制工作站，”ESET高级安全研究员Anton Cherepanov透露。

网络钓鱼攻击方式

近日，网络安全公司Nozomi Networks也对GreyEnergy的ICS（工业控制系统）高级恶意软件进行了分析，发现威胁行为者使用的独特工具和策略使得该组织能够长期隐匿其行踪，处于异常行为监测工具的雷达区之外。

根据该公司安全研究员Alessandro Di Pinto的说法，在乌克兰和波兰境内发现的GreyEnergy ICS恶意软件通过网络钓鱼邮件成功感染了其攻击目标。攻击活动从用户收到网络钓鱼邮件的那一刻起，直到恶意软件（后门）安装在他们的系统中。

从恶意文档到后门安装的GreyEnergy恶意软件组件及流程

该钓鱼邮件中包含一个以乌克兰语编写的恶意Word文档。尽管其页面顶部有安全警告提示，但安全警告中有一个选择框，要求用户“启用内容”——显而易见，这是尝试欺骗用户的诱饵。

首次打开恶意Word文档时的页面

甚至，攻击者还诱导用户填写其中附有的虚假交互式表单。虽然网络钓鱼电子邮件很常见，但“恶意软件的代码并不常见——它编写严谨，且巧妙地组合在一起，旨在规避网络安全产品的监测，”Di Pinto写道。

顶部红字引导用户填写交互式表单

在分析恶意文档的工作原理时，Di Pinto发现，一旦打开，它就会尝试加载远程图像，这在受害者启用宏命令之前就会发生。Di Pinto表示，这是因为攻击者可以使用oledump工具轻松解压缩和提取恶意代码：

部分核心恶意代码

一旦用户单击“启用内容”按钮，就会自动执行函数Document_Open（）。它调用函数Test（），继而调用包含恶意代码的函数HashCheck（）——这是大多数恶意宏中常见的下载器，其主要目的是从远程位置下载恶意软件组件，将其存储在系统中，最后执行攻击。