McAfee Labs通過收集的證據(jù)表明DragonFly惡意軟件與BlackEnergy和TeamSpy等其他黑客攻擊活動有莫大聯(lián)系，這些攻擊活動在技術(shù)、戰(zhàn)術(shù)和程序方面都非常相似。

賽門鐵克今年9月發(fā)布了關(guān)于“DragonFly 2.0 行動”——針對數(shù)十家能源公司進行黑客攻擊的詳細(xì)分析報告，在對制藥、金融和會計行業(yè)遭遇過網(wǎng)絡(luò)攻擊案例進一步調(diào)查分析后，研究團隊發(fā)現(xiàn)這些攻擊活動在技術(shù)、戰(zhàn)術(shù)和程序方面都存在相似之處（如使用魚叉式網(wǎng)絡(luò)釣魚、特定漏洞攻擊和供應(yīng)鏈污染等），他們懷疑 “DragonFly 2.0 行動”與2014年觀察到的DragonFly攻擊行動背后是同一個黑客組織。

研究人員通過對惡意軟件的關(guān)聯(lián)分析，發(fā)現(xiàn)前兩款惡意軟件都使用了TeamSpy惡意軟件中相同的TeamViewer（由匈牙利安全公司 Crysys分析提出）。

TeamSpy黑客組織攻擊過許多高級機構(gòu)，包括俄羅斯駐華大使館、 法國和比利時的多個研究和教育機構(gòu)、一家位于伊朗的電子公司和位于俄羅斯的工業(yè)制造商等。

盡管此前的分析報告傾向于將黑客攻擊歸因于一個或多個黑客組織、認(rèn)為他們彼此分享了攻擊戰(zhàn)術(shù)和工具，但研究人員同時表示， 黑客組織TeamSpy背后的動機與DragonFly類似。

如上圖，研究人員發(fā)現(xiàn)今年捕獲的DragonFly 惡意軟件樣本中包含與2016年BlackEnergy惡意軟件相關(guān)的代碼塊。

雖然這種自我刪除的代碼塊在惡意軟件中非常常見，但通常是通過創(chuàng)建批處理文件并執(zhí)行批處理而不是直接調(diào)用delete命令來實現(xiàn)。而在通過對比2015年10月31日在烏克蘭被捕獲的BlackEnergy樣本代碼與DragonFly樣本后，研究人員發(fā)現(xiàn)他們之間的代碼幾乎都是相同的，因此揭示了BlackEnergy和Dragonfly之間的相關(guān)性。