欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

神秘黑客组织Wild Neutron被曝光 苹果微软均遭其攻击

来源:本站整理 作者:佚名 时间:2015-07-16 TAG: 我要投稿

近日,卡巴斯基实验室研究人员发现一个以全球多个国家和地区为攻击目标的Wild Neutron黑客组织。目前,包括法国、俄罗斯、瑞士、德国、奥地利、巴勒斯坦、斯洛文尼亚、哈萨克斯坦、阿联酋、阿尔及利亚和美国在内的11个国家和地区均已遭受攻击。而攻击目标则包括律师事务所、同比特币相关的公司、投资公司、经常涉及企业并购的大型企业组织、IT公司、医疗保健公司、房地产公司以及个人用户。

早在2013年,卡巴斯基实验室就曾发现该黑客组织(又被称为“Jripbot”和“Morpho”)对多个知名公司发动了攻击,包括苹果公司、Facebook、Twitter和微软公司。在攻击事件曝光后,该黑客组织沉寂了近一年时间,此后于2013年末和2014年初继续开始攻击,并且持续到2015年。

wn01

据了解,攻击者使用一种窃取到的合法代码验证证书和一种未知的Flash Player漏洞利用程序感染全球的企业和个人用户,窃取敏感的商业信息。而攻击重点显示,攻击者应该没有得到某个国家和政府的支持。但是,攻击者使用了零日漏洞、多平台恶意软件以及其它多种攻击技巧,所以,卡巴斯基实验室研究人员认为这是一个实力强大的网络间谍攻击组织,其发动攻击的目的可能是出于经济原因。

对于最近发生的攻击事件,其初始感染手段目前还未知。尽管有迹象显示攻击者利用了未知的Flash Player漏洞利用程序通过受感染网站感染受害者。漏洞利用程序会在受害者的系统上安装恶意软件释放器。

根据卡巴斯基实验室研究人员的分析,恶意软件释放器使用一个合法的代码验证证书进行签名。使用数字证书签名,可以让恶意软件绕过一些安全解决方案的检测。Wild Neutron攻击中使用的数字签名盗窃自一家知名的电子产品生厂商。目前,该数字证书已被撤销。而在成功入侵系统后,恶意软件释放器会在系统上安装主后门程序。

就主后门程序的功能而言,它与其它远程访问工具(RATs)并无很大差别。真正突出的是攻击者隐藏命令和控制服务器(C&C)地址以及恢复被关闭的C&C的能力。命令和控制服务器是恶意基础设施非常重要的一部分,因为对于部署到受害者计算机上的恶意软件,其充当着“基地”的作用。后门程序中内置了特殊的功能,能够帮助攻击者保护基础设施,避免命令和控制中心被关闭。

此外,根据卡巴斯基实验室的分析,在一些恶意软件样本中,加密的配置文件中包括“La revedere”(罗马尼亚语“再见”)字符串,这标志着同命令和控制服务器的通讯结束。卡巴斯基实验室的研究人员还发现另一个非英语字符串,是俄语“Успешно”(“uspeshno”->“successfully”)的拉丁语转写。因此,攻击者的身份目前仍是个谜。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载