Car-tech

IE exploit distribuerer PlugX malware, sier forskere

Exploit Prevention: VBScript Memory Corruption in IE

Exploit Prevention: VBScript Memory Corruption in IE
Anonim

Forskere fra sikkerhetsleverandøren AlienVault har identifisert en variant av et nylig oppdaget Internet Explorer-utnyttelse som brukes til å infisere målrettede datamaskiner med PlugX Remote Access Trojan (RAT) -programmet.

Den nyoppdagede utnyttelsesvarianten retter seg mot det samme uopprettede sikkerhetsproblemet i IE 6, 7, 8 og 9 som den opprinnelige bruken, men bruker litt forskjellig kode og har en annen nyttelast, sier AlienVault Labs-leder Jaime Blasco tirsdag i et blogginnlegg.

Den første utnyttelsen ble funnet over helgen på en kjent skadelig server av sikkerhetsforsker Eric Romang og distribuert Gift Ivy RAT. Den andre utnyttelsesversjonen som ble oppdaget av AlienVault-forskere, ble funnet på en annen server og installert et mye nyere RAT-program kalt PlugX.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Filmodifikasjonsdatoer ses på begge servere antyder at begge versjonene av utnyttelsen har vært i bruk siden 14. september.

"Vi vet at gruppen som aktivt bruker PlugX-malware, også kalt Flowershow, hadde tilgang til Internet Explorer ZeroDay [utnytte målrettingen til et uendret sårbarhet] dager før det ble avdekket, sa Blasco. "På grunn av likhetene i den nye oppdagede utnyttningskoden og den som ble oppdaget for noen dager siden, er det svært sannsynlig at den samme gruppen ligger bak begge tilfeller."

AlienVault-forskere har sporet angrep som bruker PlugX RAT siden tidligere i år. Basert på fil feilsøkingsbaner som finnes i malware, tror de at den relativt nye RAT ble utviklet av en kinesisk hacker kjent som WHG, som hadde tidligere bånd til Network Crack Program Hacker (NCPH), en velkjent kinesisk hackergruppe.

AlienVault-forskere har også identifisert to andre nettsteder som serverte den nye IE-utnytte i fortiden, men ingen nyttelast kunne fås fra dem, sa Blasco. Den ene var en forsvarsnyhetsside fra India, og den andre var sannsynligvis en falsk versjon av den andre International LED Professional Symposium-nettsiden, sa han. (Se også "Ondsinnede webapplikasjoner: Hvordan de ser dem, hvordan de skal slå dem.")

"Det ser ut til at gutta bak denne dagen var målrettet mot bestemte bransjer," sa Blasco.

Serveren der den opprinnelige IE utnytter ble funnet også lagret en utnyttelse for en upakket Java-sårbarhet i forrige måned. At Java exploit ble brukt i angrep som ble tildelt av sikkerhetsforskere til en kinesisk hackergruppe som ble kalt "Nitro".

Microsoft har allerede gitt ut en sikkerhetsrådgivning om det nye IE-sikkerhetsproblemet og anbefalte midlertidige reduksjonsløsninger mens det fungerer på en oppdatering.