2013年,卡巴斯基实验室发现一个名为“Wild Neutron”的黑客组织(又被称为“Jripbot”和“Morpho”)对多个知名公司发动了攻击,包括苹果公司、Facebook、Twitter和微软公司
2013年,卡巴斯基实验室发现一个名为“Wild Neutron”的黑客组织(又被称为“Jripbot”和“Morpho”)对多个知名公司发动了攻击,包括苹果公司、Facebook、Twitter和微软公司。攻击事件被曝光后,该黑客组织沉寂了近一年。并且于2013年末和2014年初继续开始攻击,并且持续到2015年。
攻击者使用一种窃取到的合法代码验证证书和一种未知的Flash Player漏洞利用程序感染全球的企业和个人用户,窃取敏感的商业信息。
卡巴斯基实验室的研究人员发现Wild Neutron的攻击目标位于全球11个国家和地区,包括法国、俄罗斯、瑞士、德国、奥地利、巴勒斯坦、斯洛文尼亚、哈萨克斯坦、阿联酋、阿尔及利亚和美国,攻击目标包括:
- 律师事务所
- 同比特币相关的公司
- 投资公司
- 经常涉及企业并购的大型企业组织
- IT公司
- 医疗保健公司
- 房地产公司
- 个人用户
攻击重点显示,攻击者应该没有得到某个国家和政府的支持。但是,攻击者使用了零日漏洞、多平台恶意软件以及其它多种攻击技巧,所以,卡巴斯基实验室研究人员认为这是一个实力强大的网络间谍攻击组织,其发动攻击的目的可能是出于经济原因。
攻击情况
最近发生的攻击的初始感染手段目前还未知,尽管有迹象显示攻击者利用了未知的Flash Player漏洞利用程序通过受感染网站感染受害者。漏洞利用程序会在受害者的系统上安装恶意软件释放器。
卡巴斯基实验室研究人员对攻击进行分析时发现,恶意软件释放器使用一个合法的代码验证证书进行签名。使用数字证书签名,可以让恶意软件绕过一些安全解决方案的检测。Wild Neutron攻击中使用的数字签名盗窃自一家知名的电子产品生厂商。目前,该数字证书已经被撤销。
入侵系统后,恶意软件释放器会在系统上安装主后门程序。
在功能方面,主后门程序同其它很多远程访问工具(RATs)差别不大。真正突出的是攻击者隐藏命令和控制服务器(C&C)地址以及恢复被关闭的C&C的能力。命令和控制服务器是恶意基础设施非常重要的一部分,因为对于部署到受害者计算机上的恶意软件,其充当着“基地”的作用。后门程序中内置了特殊的功能,能够帮助攻击者保护基础设施,避免命令和控制中心被关闭。
神秘的身份
攻击者的身份目前仍是个谜。在一些恶意软件样本中,加密的配置文件中包括“La revedere”(罗马尼亚语“再见”)字符串,标志着同命令和控制服务器的通讯结束。此外,卡巴斯基实验室的研究人员还发现另一个非英语字符串,是俄语“Успешно”(“uspeshno” ->“ successfully”)的拉丁语转写。
“Wild Neutron是一个技术高超,并且全能的攻击组织。该组织从2011年开始活跃,在攻击中使用了至少一个零日漏洞利用程序,还是用了定制的针对Windows和OS X的恶意软件和工具。尽管其在过去针对全球多个知名企业发动过攻击,但仍然通过高超的操作安全技术,保持低调,而且目前我们仍然无法对其进行定性。该攻击组织的攻击目标包括大型IT企业、间谍软件开发商(FlexiSPY)、圣战主义者论坛(“圣战士追随者英语论坛”)和比特币公司,表明攻击者的兴趣不同寻常,并且非常多变,”卡巴斯基实验室全球研究和分析团队总监Costin Raiu说。
卡巴斯基实验室产品能够成功检测和拦截Wild Neutron攻击组织所使用的恶意软件,检测结果为:
Trojan.Win32.WildNeutron.gen,
Trojan.Win32.WildNeutron.*,
Trojan.Win32.JripBot.*,
Trojan.Win32.Generic
要了解更多关于Wild Neutron黑客组织详情,请阅读Securelist.com上的相关博文。
全球研究和分析团队(GReAT)介绍:http://youtu.be/FzPYGRO9LsA
卡巴斯基情报服务客户可以获取更多关于Wild Neutron定性信息,请联系:intelreports@kaspersky.com
