據(jù)報道，美國的制造工廠、核電站和其他能源設(shè)施正遭受網(wǎng)絡(luò)攻擊的威脅。此次威脅事件至少攻擊了美國十幾家電力公司,包括在堪薩斯州的Wolf Creek核設(shè)施。由于被攻擊公司的控制能源基礎(chǔ)設(shè)施系統(tǒng)以及核設(shè)施與企業(yè)網(wǎng)絡(luò)是完全分離的，所以此次攻擊只影響了行政和商業(yè)網(wǎng)絡(luò)，并未影響控制能源基礎(chǔ)設(shè)施系統(tǒng)及核設(shè)施。  
美國國土安全部報告指出，攻擊者使用的技術(shù)與俄羅斯相關(guān)的APT組織（CrouchingYeti, Energetic Bear 和 Dragonfly）相似，而該APT組織一直以工業(yè)企業(yè)為目標。攻擊烏克蘭電網(wǎng)也被認為是該組織的杰作。
有研究人員認為，此次黑客攻擊使用了“水坑”和“中間人”(MitM) 攻擊，而這次攻擊行動同時還針對世界其他地區(qū)的政府網(wǎng)站的用戶，某些用來攻擊的文檔與能源部門并沒有明顯的聯(lián)系。
亞信安全已經(jīng)截獲此次攻擊中使用的惡意程序，并將該惡意程序命名為TROJ_RELSLODR.D。
入侵分析 
為了獲取用戶憑證和網(wǎng)絡(luò)訪問權(quán)限，攻擊者首先向企業(yè)的工作人員發(fā)送帶有惡意文檔的釣魚郵件，這些惡意文檔通常偽裝成簡歷或者環(huán)境報告，其并未使用傳統(tǒng)的VBA宏或其他嵌入式腳本，而是使用了模板注入（template injection ）技術(shù)。

【釣魚郵件示例】
什么是模板注入技術(shù)？ 
模板注入技術(shù)是指，當(dāng)受害者打開惡意文檔時,在啟動word 應(yīng)用程序的同時, 其會從攻擊者控制的SMB服務(wù)器加載一個模板文件。使得攻擊者可以不知不覺的獲取到用戶憑證，該模板文件也可以下載其它惡意文件到被感染機器上。
 

研究人員通過進一步研究發(fā)現(xiàn)，此次攻擊中使用的模板注入與一個名為Phishery 的開源工具之間存在聯(lián)系，而此類相似性還無法判斷是否是巧合，還是攻擊者修改了現(xiàn)有的工具，又或者是黑客的混淆手段。
  

【github上的Phishery開源工具】
本次攻擊黑客的主要目標是竊取關(guān)鍵基礎(chǔ)設(shè)施信息，特別是針對美國及歐洲。而黑客可以輕松攻入美國多個能源公司以及核電站，說明目前關(guān)鍵基礎(chǔ)設(shè)施企業(yè)和機構(gòu)的安全防護工作還存在很大漏洞�；�礎(chǔ)設(shè)施與人們生活息息相關(guān)，黑客已經(jīng)將觸角伸向該領(lǐng)域，該領(lǐng)域安全問題不容忽視。
 我國已經(jīng)開始重視關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全問題，國家正在研討《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》，其中第六條明確指出，關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上，實行重點保護。
 針對關(guān)鍵基礎(chǔ)設(shè)置網(wǎng)絡(luò)安全，我們應(yīng)當(dāng)制定實施多角度、多層次、多策略防護相結(jié)合的解決方案，主動偵測和防御是必不可少的。亞信安全深度發(fā)現(xiàn)設(shè)TDA可掌握全網(wǎng)絡(luò)的流量來偵測并響應(yīng)未知威脅。 TDA能偵測所有端口及100 多種通訊協(xié)議的應(yīng)用，為用戶提供最全面的網(wǎng)絡(luò)威脅偵測。
亞信安全最新病毒碼版本13.526.60（2017年7 月11日已經(jīng)發(fā)布）包含對該惡意程序檢測，請用戶及時升級病毒碼版本。