Η τελευταία εκμετάλλευση μηδενικών μηνυμάτων Java συνδέεται με την επίθεση Bit9

Οι επιθέσεις που ανακάλυψαν την περασμένη εβδομάδα ότι εκμεταλλεύτηκαν μια άγνωστη ευπάθεια Java ήταν πιθανό να εκτοξεύθηκαν από τους ίδιους εισβολείς η εταιρεία Bit9 και οι πελάτες της, σύμφωνα με τους ερευνητές της Symantec.

Οι ερευνητές της FireEye, οι οποίοι ανακάλυψαν τις νέες επιθέσεις Java την περασμένη εβδομάδα, δήλωσαν ότι το Java exploit εγκαθιστά ένα κομμάτι malware που αποκαλείται McRAT. η οποία εντοπίζεται από τα προϊόντα της Symantec ως Trojan.Naid, συνδέεται ξανά με ένα διακομιστή εντολών και ελέγχου (C & C) χρησιμοποιώντας τη διεύθυνση 110.173.55.187 IP (Internet Protocol), την Symantec r «

" Είναι ενδιαφέρον ότι ένα δείγμα Trojan.Naid υπογράφηκε επίσης από το συμβιβασμένο πιστοποιητικό Bit9 που συζητήθηκε στην ενημερωμένη έκδοση συμβάντος ασφαλείας Bit9 και χρησιμοποιούνται σε μια επίθεση σε ένα άλλο κόμμα », ανέφεραν. Το Bit9, μια εταιρεία που πωλεί προϊόντα ασφαλείας χρησιμοποιώντας την τεχνολογία whitelisting, ανακοίνωσε ότι οι χάκερ έσπασε σε έναν από τους διακομιστές της και χρησιμοποίησε το διακομιστή επικοινωνίας backchannel IP διεύθυνση 110.173.55.187. ένα από τα ψηφιακά πιστοποιητικά της εταιρείας για να υπογράψει κακόβουλο λογισμικό. Αυτό το κακόβουλο λογισμικό χρησιμοποιήθηκε στη συνέχεια σε επιθέσεις εναντίον μερικών αμερικανικών οργανώσεων, δήλωσε η εταιρεία.

"Στις επιθέσεις που ακολούθησαν τις τρεις οργανώσεις-στόχους, οι επιτιθέμενοι φαίνεται να έχουν ήδη παραβιάσει συγκεκριμένους ιστότοπους αναφέρθηκε πρόσφατα από το Facebook, την Apple και τη Microsoft), δήλωσε ο CTO του Bit9 Harry Sverdlove σε μια θέση blog την περασμένη Δευτέρα. "Πιστεύουμε ότι οι επιτιθέμενοι εισήγαγαν ένα κακόβουλο applet Java σε εκείνους τους ιστότοπους που χρησιμοποίησαν ένα θέμα ευπάθειας στη Java για την παράδοση πρόσθετων κακόβουλων αρχείων, συμπεριλαμβανομένων των αρχείων που υπογράφηκαν από το συμβιβασμένο πιστοποιητικό."

Ένα από αυτά τα κακόβουλα αρχεία που έχουν συνδεθεί ξανά στη διεύθυνση IP "110.173. 55.187 "πάνω από τη θύρα 80, δήλωσε ο CTO Bit9. Το IP είναι καταχωρημένο σε μια διεύθυνση στο Χονγκ Κονγκ

"Οι επιτιθέμενοι Trojan.Naid ήταν εξαιρετικά επίμονοι και επέδειξαν την πολυπλοκότητα τους σε πολλαπλές επιθέσεις", ανέφεραν οι ερευνητές της Symantec. "Το κύριο κίνητρό τους ήταν η βιομηχανική κατασκοπεία σε διάφορους κλάδους της βιομηχανίας."

Επιδιώξτε ελλείψεις μηδενικής ημέρας

Οι επιθέσεις που ξεκινούν συνήθως περιλαμβάνουν τρωτά σημεία μηδέν. Το 2012 διενήργησαν μια επίθεση με τρύπες για πότισμα - μια επίθεση στην οποία μολύνθηκε ένας ιστότοπος που επισκέπτεται συχνά οι επιδιωκόμενοι στόχοι - που εκμεταλλεύτηκαν ευπάθεια μηδενικού χρόνου στον Internet Explorer, ανέφεραν οι ερευνητές της Symantec.

Η Oracle δεν έχει αποκαλύψει ακόμα τα σχέδια επιδιόρθωσης για αυτήν την πιο πρόσφατη ευπάθεια Java. Η επόμενη ενημερωμένη έκδοση ασφαλείας για το Java είχε προγραμματιστεί για τον Απρίλιο, αλλά η εταιρεία ενδέχεται να αποφασίσει να εκδώσει έκτακτη ενημέρωση έκτακτης ανάγκης.

Οι ερευνητές της ασφάλειας ενημέρωσαν τους χρήστες που δεν χρειάζονται πρόσβαση στο περιεχόμενο Java που βασίζεται στο Web για να καταργήσουν την προσθήκη Java από τα προγράμματα περιήγησής τους. Η τελευταία έκδοση της ενημερωμένης έκδοσης Java-Java 7 15 παρέχει μια επιλογή μέσω του πίνακα ελέγχου της για να απενεργοποιήσετε τις προσθήκες Java ή να ενεργοποιήσετε μια ερώτηση επιβεβαίωσης πριν επιτρέπεται η εκτέλεση των μικροεφαρμογών Java στο εσωτερικό του προγράμματος περιήγησης