近日，卡巴斯基實驗室研究人員發現一個以全球多個國家和地區為攻擊目標的Wild Neutron黑客組織。目前，包括法國、俄羅斯、瑞士、德國、奧地利、巴勒斯坦、斯洛文尼亞、哈薩克斯坦、阿聯酋、阿爾及利亞和美國在內的11個國家和地區均已遭受攻擊。而攻擊目標則包括律師事務所、同比特幣相關的公司、投資公司、經常涉及企業并購的大型企業組織、IT公司、醫療保健公司、房地產公司以及個人用戶。

早在2013年，卡巴斯基實驗室就曾發現該黑客組織（又被稱為“Jripbot”和“Morpho”）對多個知名公司發動了攻擊，包括蘋果公司、Facebook、Twitter和微軟公司。在攻擊事件曝光后，該黑客組織沉寂了近一年時間，此后于2013年末和2014年初繼續開始攻擊，并且持續到2015年。

據了解，攻擊者使用一種竊取到的合法代碼驗證證書和一種未知的Flash Player漏洞利用程序感染全球的企業和個人用戶，竊取敏感的商業信息。而攻擊重點顯示，攻擊者應該沒有得到某個國家和政府的支持。但是，攻擊者使用了零日漏洞、多平臺惡意軟件以及其它多種攻擊技巧，所以，卡巴斯基實驗室研究人員認為這是一個實力強大的網絡間諜攻擊組織，其發動攻擊的目的可能是出于經濟原因。

對于最近發生的攻擊事件，其初始感染手段目前還未知。盡管有跡象顯示攻擊者利用了未知的Flash Player漏洞利用程序通過受感染網站感染受害者。漏洞利用程序會在受害者的系統上安裝惡意軟件釋放器。

根據卡巴斯基實驗室研究人員的分析，惡意軟件釋放器使用一個合法的代碼驗證證書進行簽名。使用數字證書簽名，可以讓惡意軟件繞過一些安全解決方案的檢測。Wild Neutron攻擊中使用的數字簽名盜竊自一家知名的電子產品生廠商。目前，該數字證書已被撤銷。而在成功入侵系統后，惡意軟件釋放器會在系統上安裝主后門程序。

就主后門程序的功能而言，它與其它遠程訪問工具（RATs）并無很大差別。真正突出的是攻擊者隱藏命令和控制服務器（C&C）地址以及恢復被關閉的C&C的能力。命令和控制服務器是惡意基礎設施非常重要的一部分，因為對于部署到受害者計算機上的惡意軟件，其充當著“基地”的作用。后門程序中內置了特殊的功能，能夠幫助攻擊者保護基礎設施，避免命令和控制中心被關閉。

此外，根據卡巴斯基實驗室的分析，在一些惡意軟件樣本中，加密的配置文件中包括“La revedere”（羅馬尼亞語“再見”）字符串，這標志著同命令和控制服務器的通訊結束。卡巴斯基實驗室的研究人員還發現另一個非英語字符串，是俄語“Успешно”（“uspeshno”->“successfully”）的拉丁語轉寫。因此，攻擊者的身份目前仍是個謎。

在談及這一重大發現時，卡巴斯基實驗室全球研究和分析團隊總監Costin Raiu表示：“Wild Neutron是一個技術高超，并且全能的攻擊組織。該組織從2011年開始活躍，在攻擊中使用了至少一個零日漏洞利用程序，還使用了定制的針對Windows和OS X的惡意軟件和工具。盡管其在過去針對全球多個知名企業發動過攻擊，但仍然通過高超的操作安全技術，保持低調，而且目前我們仍然無法對其進行定性。該攻擊組織的攻擊目標包括大型IT企業、間諜軟件開發商（FlexiSPY）、圣戰主義者論壇（“圣戰士追隨者英語論壇”）和比特幣公司。這表明攻擊者的興趣不同尋常，并且非常多變。”

目前，卡巴斯基實驗室針對企業和個人用戶的安全產品能夠成功檢測和攔截Wild Neutron攻擊組織所使用的惡意軟件，并且已將其檢測為Trojan.Win32.WildNeutron.gen、Trojan.Win32.WildNeutron.*、Trojan.Win32.JripBot.*和Trojan.Win32.Generic。