Ultima exploatare Java zero-day este legată de un atac hacker Bit9

Atacurile descoperite săptămâna trecută, care au exploatat o vulnerabilitate Java necunoscută anterior, au fost probabil lansate de aceiași atacatori, firmware-ul Bit9 și clienții săi, potrivit cercetătorilor de la Symantec.

Cercetătorii de securitate de la FireEye, care au descoperit săptămâna trecută noile atacuri Java, au declarat că exploatarea Java instalează o bucată de acces malware numită McRAT. amenințare, pe care produsele Symantec le detectează ca Trojan.Naid, se conectează înapoi la un server de comandă și control (C & C) utilizând adresa IP 110.173.55.187 IP, Symantec r au descoperit un test Trojan.Naid care a fost semnat și de certificatul Bit9 compromis, discutat în actualizarea incidentului de securitate Bit9

[Citiți în continuare: Cum să eliminați malware-ul de pe PC-ul dvs. Windows]

și folosit într-un atac asupra unei alte partide ", au spus ei. "Această probă a folosit și adresa IP 110.173.55.187 a serverului de comunicații de backchannel."

Certificat furat

Luna trecuta, Bit9, o companie care vinde produse de securitate folosind tehnologia whitelisting, a anunțat că hackerii au intrat într-unul din serverele sale unul dintre certificatele digitale ale companiei pentru a semna malware. În atacurile ulterioare asupra celor trei organizații țintă, atacatorii au părut deja că au compromis anumite site-uri web (un atac de tip gaură de udare, similar cu ceea ce se întâmplă în cazul atacurilor împotriva unor organizații din SUA). a fost recent raportată de Facebook, Apple și Microsoft ", a declarat CTO al lui Bit9, Harry Sverdlove, într-un post de blog, luni, luni. "Credem că atacatorii au inserat un applet Java rău intenționat pe acele site-uri care au folosit o vulnerabilitate în Java pentru a furniza fișiere malware suplimentare, inclusiv fișierele semnate de certificatul compromis."

Unul dintre aceste fișiere rău intenționate conectate înapoi la adresa IP "110.173. 55.187 "peste portul 80, a spus CTO-ul Bit9. IP-ul este înregistrat la o adresă din Hong Kong.

"Atacatorii Trojan.Naid au fost extrem de persistenți și și-au arătat sofisticarea în atacuri multiple", au spus cercetătorii Symantec. "Motivația lor principală a fost spionajul industrial pe o varietate de sectoare industriale."

Căutați defecte de zero zile

Atacurile pe care le lansează implică, de obicei, vulnerabilități la zero zile. În 2012 au efectuat un atac cu gaura de udare - un atac în care un site frecvent vizitat de obiectivele intenționate este infectat - care a exploatat o vulnerabilitate zero în Internet Explorer, au spus cercetătorii Symantec.

Oracle nu și-a dezvăluit planurile de patch-uri pentru această vulnerabilitate Java. Următoarea actualizare de securitate Java a fost programată pentru luna aprilie, însă compania ar putea decide să lanseze o actualizare de urgență înainte de aceasta.

Cercetătorii în domeniul securității au informat utilizatorii care nu au nevoie de acces la conținutul Java bazat pe Web pentru a elimina pluginul Java din browserele lor. Cea mai recentă versiune de Java-Java 7 Update 15 oferă o opțiune prin intermediul panoului său de control pentru a dezactiva pluginurile Java sau pentru a forța o solicitare de confirmare înainte ca apleturile Java să permită rularea în interiorul browserului.