近日,卡巴斯基实验室研究人员发现一个以全球多个国家和地区为攻击目标的Wild Neutron黑客组织。目前,包括法国、俄罗斯、瑞士、德国、奥地利、巴勒斯坦、斯洛文尼亚、哈萨克斯坦、阿联酋、阿尔及利亚和美国在内的11个国家和地区均已遭受攻击。而攻击目标则包括律师事务所、同比特币相关的公司、投资公司、经常涉及企业并购的大型企业组织、IT公司、医疗保健公司、房地产公司以及个人用户。
早在2013年,卡巴斯基实验室就曾发现该黑客组织(又被称为“Jripbot”和“Morpho”)对多个知名公司发动了攻击,包括苹果公司、Facebook、Twitter和微软公司。在攻击事件曝光后,该黑客组织沉寂了近一年时间,此后于2013年末和2014年初继续开始攻击,并且持续到2015年。
据了解,攻击者使用一种窃取到的合法代码验证证书和一种未知的Flash Player漏洞利用程序感染全球的企业和个人用户,窃取敏感的商业信息。而攻击重点显示,攻击者应该没有得到某个国家和政府的支持。但是,攻击者使用了零日漏洞、多平台恶意软件以及其它多种攻击技巧,所以,卡巴斯基实验室研究人员认为这是一个实力强大的网络间谍攻击组织,其发动攻击的目的可能是出于经济原因。
对于最近发生的攻击事件,其初始感染手段目前还未知。尽管有迹象显示攻击者利用了未知的Flash Player漏洞利用程序通过受感染网站感染受害者。漏洞利用程序会在受害者的系统上安装恶意软件释放器。
根据卡巴斯基实验室研究人员的分析,恶意软件释放器使用一个合法的代码验证证书进行签名。使用数字证书签名,可以让恶意软件绕过一些安全解决方案的检测。Wild Neutron攻击中使用的数字签名盗窃自一家知名的电子产品生厂商。目前,该数字证书已被撤销。而在成功入侵系统后,恶意软件释放器会在系统上安装主后门程序。
就主后门程序的功能而言,它与其它远程访问工具(RATs)并无很大差别。真正突出的是攻击者隐藏命令和控制服务器(C&C)地址以及恢复被关闭的C&C的能力。命令和控制服务器是恶意基础设施非常重要的一部分,因为对于部署到受害者计算机上的恶意软件,其充当着“基地”的作用。后门程序中内置了特殊的功能,能够帮助攻击者保护基础设施,避免命令和控制中心被关闭。
此外,根据卡巴斯基实验室的分析,在一些恶意软件样本中,加密的配置文件中包括“La revedere”(罗马尼亚语“再见”)字符串,这标志着同命令和控制服务器的通讯结束。卡巴斯基实验室的研究人员还发现另一个非英语字符串,是俄语“Успешно”(“uspeshno”->“successfully”)的拉丁语转写。因此,攻击者的身份目前仍是个谜。
在谈及这一重大发现时,卡巴斯基实验室全球研究和分析团队总监Costin Raiu表示:“Wild Neutron是一个技术高超,并且全能的攻击组织。该组织从2011年开始活跃,在攻击中使用了至少一个零日漏洞利用程序,还使用了定制的针对Windows和OS X的恶意软件和工具。尽管其在过去针对全球多个知名企业发动过攻击,但仍然通过高超的操作安全技术,保持低调,而且目前我们仍然无法对其进行定性。该攻击组织的攻击目标包括大型IT企业、间谍软件开发商(FlexiSPY)、圣战主义者论坛(“圣战士追随者英语论坛”)和比特币公司。这表明攻击者的兴趣不同寻常,并且非常多变。”
目前,卡巴斯基实验室针对企业和个人用户的安全产品能够成功检测和拦截Wild Neutron攻击组织所使用的恶意软件,并且已将其检测为Trojan.Win32.WildNeutron.gen、Trojan.Win32.WildNeutron.*、Trojan.Win32.JripBot.*和Trojan.Win32.Generic。 |
