A Kaspersky Lab kutatói azonosították a Wild Neutron célpontjait a többi között Francia-, Orosz-, Németországban, Svájcban, Ausztriában, Palesztinában, Szlovéniában, Kazahsztánban, az Egyesült Arab Emírségekben, Algériában és az Egyesült Államokban. Ügyvédi irodák, Bitcoin-nal kapcsolatos vállalatok, beruházásokkal kapcsolatos szervezetek, IT-cégek, egészségügyi intézmények, ingatlanforgalmazással, fúziókkal és felvásárlásokkal foglalkozó nagyvállalatok csoportjai, továbbá egyéni használók tartoznak az áldozatok közé.

A támadások célpontjai azt sugallják, hogy nem egy állam által szponzorált szereplőről van szó. Azonban a nulladik napi sérülékenységek kihasználása, a több platformos malware-ek alkalmazása, valamint más technikai megoldások miatt a Kaspersky Lab kutatói úgy vélik, hogy ez egy igen erős, gazdasági előnyök megszerzése céljából tevékenykedő kémszervezet.

A nemrégi támadások kezdeti fertőzési módszere egyelőre ismeretlen, bár egyértelműnek látszik, hogy egy ismeretlen Flash Player exploit csomagot használtak feltört weboldalakon keresztül. A kihasználó csomag egy malware telepítőt (droppert) helyez el az áldozatok számítógépén.

A Kaspersky Lab kutatói által megfigyelt támadásoknál a dropper legális hitelesítési tanúsítvánnyal volt aláírva. A tanúsítványok használata lehetővé teszi a rosszindulatú programok számára, hogy elkerüljék a felfedezést védelmi megoldások révén. A Wild Neutron által használt tanúsítványt – amelyet természetesen azóta visszavontak – egy népszerű szórakoztató elektronikai cégtől lopták. Miután bejutott a rendszerbe, a dropper telepíti a fő hátsóajtó-programot.

Funkcionális szempontból a fő backdoor nem sokban különbözik más, távoli elérést lehetővé tévő (RAT) programtól. Amiben mégis, az a támadók törekvése, hogy elrejtsék a parancs- és vezérlő (C&C) szerverük címét, valamint a backdoor azon képessége, hogy képes helyreállítani magát egy C&C-szerver lekapcsolás után. A parancs- és vezérlő szerver fontos része a rosszindulatú infrastruktúrának, központi bázisául szolgál a fertőzött gépeken található malware-nek. A malware-be épített speciális funkciók révén a támadók képesek megvédeni az infrastruktúrát a C&C szerverek leállítása esetén.

A támadók eredete továbbra is rejtély. Egyes kódmintáknál a titkosított konfiguráció tartalmazza a „La revedere ” (viszlát románul) kifejezést. A Kaspersky Lab kutatói ezenkívül még egy másik nem angol szóra is bukkantak, ez a ” Успешно ” , ami oroszul annyit jelent, hogy „sikeresen”.

A Kaspersky Lab termékei Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron. *, Trojan.Win32.JripBot. * és Trojan.Win32.Generic néven azonosítják, és blokkolják a Wild Neutron által használt kártékony programokat.

Ha többet akar megtudni a Wild Neutron hackercsoportról, olvassa el a Securelist.com-on található blogbejegyzést.

Így működik a GReAT: http://youtu.be/FzPYGRO9LsA