■王蕊

卡巴斯基解密Wild Neutron神秘網(wǎng)絡(luò)攻擊再度來襲

■王蕊

近日，卡巴斯基實(shí)驗(yàn)室研究人員發(fā)現(xiàn)一個(gè)以全球多個(gè)國家和地區(qū)為攻擊目標(biāo)的Wild Neutron黑客組織。目前，包括法國、俄羅斯、瑞士、德國、奧地利、巴勒斯坦、斯洛文尼亞、哈薩克斯坦、阿聯(lián)酋、阿爾及利亞和美國在內(nèi)的11個(gè)國家和地區(qū)均已遭受攻擊。而攻擊目標(biāo)則包括律師事務(wù)所、同比特幣相關(guān)的公司、投資公司、經(jīng)常涉及企業(yè)并購的大型企業(yè)組織、IT公司、醫(yī)療保健公司、房地產(chǎn)公司以及個(gè)人用戶。

早在2013年，卡巴斯基實(shí)驗(yàn)室就曾發(fā)現(xiàn)該黑客組織（又被稱為“Jripbot”和“Morpho”）對(duì)多個(gè)知名公司發(fā)動(dòng)了攻擊，包括蘋果公司、Facebook、Twitter和微軟公司。在攻擊事件曝光后，該黑客組織沉寂了近一年時(shí)間，此后于2013年末和2014年初繼續(xù)開始攻擊，并且持續(xù)到2015年。

據(jù)了解，攻擊者使用一種竊取到的合法代碼驗(yàn)證證書和一種未知的Flash Player漏洞利用程序感染全球的企業(yè)和個(gè)人用戶，竊取敏感的商業(yè)信息。而攻擊重點(diǎn)顯示，攻擊者應(yīng)該沒有得到某個(gè)國家和政府的支持。但是，攻擊者使用了零日漏洞、多平臺(tái)惡意軟件以及其它多種攻擊技巧，所以，卡巴斯基實(shí)驗(yàn)室研究人員認(rèn)為這是一個(gè)實(shí)力強(qiáng)大的網(wǎng)絡(luò)間諜攻擊組織，其發(fā)動(dòng)攻擊的目的可能是出于經(jīng)濟(jì)原因。

對(duì)于最近發(fā)生的攻擊事件，其初始感染手段目前還未知。盡管有跡象顯示攻擊者利用了未知的Flash Player漏洞利用程序通過受感染網(wǎng)站感染受害者。漏洞利用程序會(huì)在受害者的系統(tǒng)上安裝惡意軟件釋放器。

根據(jù)卡巴斯基實(shí)驗(yàn)室研究人員的分析，惡意軟件釋放器使用一個(gè)合法的代碼驗(yàn)證證書進(jìn)行簽名。使用數(shù)字證書簽名，可以讓惡意軟件繞過一些安全解決方案的檢測(cè)。Wild Neutron攻擊中使用的數(shù)字簽名盜竊自一家知名的電子產(chǎn)品生廠商。目前，該數(shù)字證書已被撤銷。而在成功入侵系統(tǒng)后，惡意軟件釋放器會(huì)在系統(tǒng)上安裝主后門程序。

就主后門程序的功能而言，它與其它遠(yuǎn)程訪問工具（RATs）并無很大差別。真正突出的是攻擊者隱藏命令和控制服務(wù)器（C&C）地址以及恢復(fù)被關(guān)閉的C&C的能力。命令和控制服務(wù)器是惡意基礎(chǔ)設(shè)施非常重要的一部分，因?yàn)閷?duì)于部署到受害者計(jì)算機(jī)上的惡意軟件，其充當(dāng)著“基地”的作用。后門程序中內(nèi)置了特殊的功能，能夠幫助攻擊者保護(hù)基礎(chǔ)設(shè)施，避免命令和控制中心被關(guān)閉。

此外，根據(jù)卡巴斯基實(shí)驗(yàn)室的分析，在一些惡意軟件樣本中，加密的配置文件中包括“La revedere”（羅馬尼亞語“再見”）字符串，這標(biāo)志著同命令和控制服務(wù)器的通訊結(jié)束?？ò退够鶎?shí)驗(yàn)室的研究人員還發(fā)現(xiàn)另一個(gè)非英語字符串，是俄語“Успешно”（“uspeshno”-＞“successfully”）的拉丁語轉(zhuǎn)寫。因此，攻擊者的身份目前仍是個(gè)謎。

在談及這一重大發(fā)現(xiàn)時(shí)，卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)總監(jiān)Costin Raiu表示：“Wild Neutron是一個(gè)技術(shù)高超，并且全能的攻擊組織。該組織從2011年開始活躍，在攻擊中使用了至少一個(gè)零日漏洞利用程序，還使用了定制的針對(duì)Windows和OS X的惡意軟件和工具。盡管其在過去針對(duì)全球多個(gè)知名企業(yè)發(fā)動(dòng)過攻擊，但仍然通過高超的操作安全技術(shù)，保持低調(diào)，而且目前我們?nèi)匀粺o法對(duì)其進(jìn)行定性。該攻擊組織的攻擊目標(biāo)包括大型IT企業(yè)、間諜軟件開發(fā)商（FlexiSPY）、圣戰(zhàn)主義者論壇（“圣戰(zhàn)士追隨者英語論壇”）和比特幣公司。這表明攻擊者的興趣不同尋常，并且非常多變?！?/p>

目前，卡巴斯基實(shí)驗(yàn)室針對(duì)企業(yè)和個(gè)人用戶的安全產(chǎn)品能夠成功檢測(cè)和攔截Wild Neutron攻擊組織所使用的惡意軟件，并且已將其檢測(cè)為Trojan.Win32.WildNeutron.gen、Trojan. Win32.WildNeutron.★、Trojan.Win32.JripBot.★和Trojan. Win32.Generic。