Car-tech

Siste Java-nulldagsutnyttelse er knyttet til Bit9-hackerangrep

Hack attempt against NSX + AppDefense + Carbon Black

Hack attempt against NSX + AppDefense + Carbon Black

Innholdsfortegnelse:

Anonim

Angrepene som ble oppdaget i forrige uke, som utnyttet en tidligere ukjent Java-sårbarhet, ble sannsynligvis lansert av de samme angriperne som tidligere hadde sikret sikkerhet firmaet Bit9 og dets kunder, ifølge forskere fra antivirusleverandøren Symantec.

Sikkerhetsforskere fra FireEye, som fant de nye Java-angrepene i forrige uke, sa at Java-utbyderen installerer et eksternt tilgangsstykke skadelig programvare som heter McRAT. trussel, hvilke Symantec-produkter oppdager som Trojan. Naid, kobler tilbake til en kommando-og-kontroll (C & C) -server ved hjelp av adressen 110.173.55.187 IP (Internet Protocol), Symantec r esearchers sa fredag ​​i et blogginnlegg.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Interessant nok ble en Trojan.Naid-prøve også signert av det kompromitterte Bit9-sertifikatet som ble diskutert i oppdateringen Bit9 Security Incident og brukes i et angrep på en annen parti, "sa de. "Denne prøven benyttet også IP-adressen til backkanalkommunikasjonsserveren 110.173.55.187."

Sertifikat stjålet

I fjor meldte Bit9, et selskap som selger sikkerhetsprodukter ved hjelp av whitelisting-teknologi, at hackere brøt inn i en av serverne og brukte et av selskapets digitale sertifikater for å signere skadelig programvare. Den skadelige programvaren ble da brukt i angrep mot noen få amerikanske organisasjoner, sa selskapet.

"I de påfølgende angrepene på de tre målorganisasjonene viste angriperne seg allerede å ha kompromittert spesifikke nettsteder (et vannhullstilfallsangrep som ligner på hva ble nylig rapportert av Facebook, Apple og Microsoft), "Bit9s CTO Harry Sverdlove sa i et blogginnlegg sist mandag. "Vi tror at angriperne har satt inn en ondsinnet Java-applet på de nettstedene som brukte et sikkerhetsproblem i Java for å levere flere skadelige filer, inkludert filer som ble signert av det kompromitterte sertifikatet."

En av de ondsinnede filene koblet tilbake til IP-adressen "110.173. 55.187 "over port 80, sa Bit9 CTO. IP-adressen er registrert til en adresse i Hong Kong.

"De trojanske angrepene har vært ekstremt vedvarende og har vist sin raffinement i flere angrep," sa Symantec-forskerne. "Deres primære motivasjon har vært industrispionasje på en rekke bransjer."

Søk på nulldagssvikt

De angrepene de lanserer, innebærer vanligvis nulldagssårbarheter. I 2012 gjennomførte de et vannhullsangrep - et angrep der et nettsted som ofte er besøkt av de tilsiktede målene, er infisert - som utnyttet et nulldagssårbarhet i Internet Explorer, sier Symantec-forskerne.

Oracle har ennå ikke avslørt patchplaner for denne nyeste Java-sårbarheten. Den neste Java-sikkerhetsoppdateringen ble planlagt i april, men selskapet kan bestemme seg for å frigjøre en nødoppdatering før da.

Sikkerhetsforskere har rådet brukere som ikke trenger tilgang til nettbasert Java-innhold for å fjerne Java-plugin-modulen fra nettleserne sine. Den nyeste versjonen av Java-Java 7 Update 15-gir et alternativ via kontrollpanelet for å deaktivere Java-plugin-modulene eller for å tvinge en bekreftelsespåmelding før Java-appletter får kjøres inne i nettleseren.