自2011年首次被发现之后,名为Wild Neutron的黑客集团仍在积极进攻世界各地的公司组织。今年,卡巴斯基实验室和赛门铁克分别报告了Wild Neutron的黑客集团的最新活动(赛门铁克在报告中称该集团为"Butterfly")。
据卡巴斯基实验室和赛门铁克的调查, Wild Neutron/ Butterfly黑客集团涉及针对苹果、Facebook、Twitter和早在2013年对微软发起的零日攻击等一系列事件。
“Butterfly有着严格的纪律管理,并且其整体安全技术操作能力水平非常高。”赛门铁克在其官方博客中写道。 “在有着严格管理纪律的同时,该组织保持了低调的姿态,这使得在过去三年中其对公司、企业造成的严重威胁不断呈上升态势。”

据卡巴斯基实验室的调查,Wild Neutron/ Butterfly在2015年所发动的新的攻击所利用的手段据指是被从电子产品厂商宏基所窃取的代码签名证书,以及一个新的Flash播放器漏洞。
Adobe在7月8日发布了最新的Flash Player的更新,修补了36个漏洞。但目前尚不能确定被Wild Neutron/ Butterfly所利用的漏洞是否被修补。
“我们并没有直接接触过这个漏洞,而只是看到了一些间接的攻击痕迹。”卡巴斯基实验室全球研究和分析团队安全研究人员Marta Janus说道, “这就是目前我们不能确定其是如何开发利用该漏洞进行攻击的原因。”
该黑客组织已经活跃了好几年,但有趣的是其至今仍没有受到法律制裁。Marta Janus指出,该攻击组织者一直非常小心地隐藏他们的踪迹。她说:“Wild Neutron会锁定一批很小数目的精确攻击目标,并寻找那些可能对他们有用的信息。一旦得手,他们会迅速撤出,并删除系统中所有的恶意软件组件和恶意活动的痕迹。”
Wild Neutron/ Butterfly黑客组织利用被盗的证书以避开针对恶意软件的初始检测。攻击完成之后,恶意文件会被“粉碎”工具删除,该工具会在文件改名之前对随机文件进行多次覆盖并最终从系统中删除。“这种方法可以防止其在攻击事件中所使用的文件被还原以及被分析取证。” Marta Janus说道。
“而命令与控制(C&C)的Web地址也被Wild Neutron/ Butterfly很好的保护隐藏起来。” Marta Janus补充说道。C&C地址采用的是双重加密的方式,只允许解密恶意软件运行在同一台机器上,并只允许同一用户登录。
很明显,Wild Neutron/ Butterfly黑客组织正致力于如何避开安全检测,并尽可能地一直将攻击活动进行下去。我们怀疑避开检测并不是Wild Neutron/ Butterfly唯一的投入方向,目前看来,该攻击组织各方面整体水平已日趋成熟,会更好的规避安全厂商和执法部门的检测。
为了避免成为Wild Neutron/ Butterfly的受害者,最终用户可以通过以下方式保护自己的工具和流程:
使用先进的反恶意软件解决方案对电脑进行定期扫描;
更新所有的第三方应用程序,尤其是安装最新的Adobe Flash Player漏洞补丁;
不去访问已知的被黑客攻破的论坛。
(责任编辑:腰编辑)