近日，安全公司 ESET发现一种名为 TeleBots 的新恶意软件已经开始将攻击目标定为乌克兰的银行，通过鱼叉式网络钓鱼攻击传递恶意 Excel 文档感染计算机，根据ESET公司专家的分析，TeleBots恶意软件的代码与BlackEnergy犯罪软件有许多相似之处，首先都是利用恶意宏的 Excel进行攻击，其次目标都是针对乌克兰的基础设施。所以ESET公司的专家认为TeleBots很可能就是BlackEnergy的变身。

BlackEnergy事件回顾

BlackEnergy最早能够追溯到2007年。刚开始，它被设计为一个在DDoS攻击中创建僵尸网络的工具。随着时间的推移， 2014年夏，BlackEnery的攻击似乎开始专门针对为乌克兰政府了。2015 年 12 月 23 日，乌克兰电力网络受到黑客攻击，导致伊万诺-弗兰科夫斯克州数十万户大停电， 2016年1月4日，ESET公司发表文章称，乌克兰境内的多家配电公司设备中监测到的KillDisk，由此怀疑使用了BlackEnergy后门，攻击者能够利用它来远程访问并控制电力控制系统。

由于在BlackEnergy针对乌克兰的电力事件中，俄罗斯就被认定为参与者，鉴于TeleBots是BlackEnergy的变身，所以俄罗斯被怀疑为幕后黑手也就不足为奇了。

分析发现，攻击者会将带有恶意宏的Excel作为初始媒介附在电子邮件中，通过鱼叉式网络钓鱼攻击目标电脑、自动下载恶意软件，同时进一步感染系统、盗取文件甚至渗透整个网络。攻击者能够从电脑中获取想要的任何信息。

ESET 研究员透露：

从2016年下半年开始，我们就发现了一个专门针对乌克兰金融部门的高价值目标进行网络攻击的独特恶意工具包。

攻击者利用 excel 执行宏主要是为了通过 explorer.exe 获取木马下载器、使目标感染其他恶意软件。这个木马下载器由 rust 语言编写，此时受害者电脑中会存在一种 Python 编写的 “Python/TeleBot.AA” 后门，这是 TeleBots 的主要部分， “TeleBots” 之名也因此得来。

俄罗斯是否是幕后黑手？

我们先来看一下BlackEnergy的攻击过程，以乌克兰电力事件为例，攻击者以钓鱼邮件方式，附带木马XLS文件，诱惑用户打开这个文件，从而运行木马，安装SSH后门，以便攻击者可以针对目标下发工业控制指令，必要时运行killdisk进行系统自毁，延长系统恢复时间。

XLS就是Microsoft Excel工作表，是一种非常常用的电子表格格式，xls文件可以使用Microsoft Excel打开；SSH是（Secure SHell protocol）的简写，便于在不安全网络上提供安全的远程登录及其它安全网络服务的协议，保护信息传输的安全性。在此次事件中，BlackEnergy木马放置了一个后门程序dropbear.exe，这个后门基于这个协议，在端口6789上与攻击者进行联系；KillDisk是BlackEnergy木马中的一个组件，用于损毁目标设备的系统，在此次事件中将有可能损毁电力设备的系统。

再来看看TeleBots的攻击过程

攻击者还会在系统中部署BlackEnergy的KillDisk组件，使计算机或其中关键系统无法正常启动。系统感染 TeleBots 后，攻击者会利用含有恶意宏的Microsoft Excel文档的钓鱼网络钓鱼邮件，受害者点击邮件后，TeleBots 执行excel 执行宏对文件进行感染，这时，KillDisk 组件便会删除系统文件并将开机页面改为Mr. Robot的电视节目画面。研究发现，KillDisk 本身并不存储这张图片，而是利用Windows GDI实时画出了这幅图。很显然，攻击者也是投入了大量精力在编写这段绘制图片的代码上。

通过对比我们发现两者的攻击过程都近乎相似。以下是BlackEnergy和TeleBots源代码之间的相似之处

ESET在溯源过程中发现可与 TeleBots 进行通讯的 BCS 服务器，其中包含部分俄语说明文档。所以TeleBots显然是和俄罗斯有关的。