Использование эксплойта IE распространяет вредоносное ПО PlugX, говорят исследователи

Исследователи из поставщика безопасности AlienVault определили вариант недавно обнаруженного эксплойта Internet Explorer, который используется для заражения целевых компьютеров с помощью программы Trojan (RAT) для удаленного доступа PlugX.

Недавно обнаруженный вариант эксплойта нацелен на ту же уязвимость, что и в IE 6, 7, 8 и 9 в качестве исходного эксплойта, но использует немного другой код и имеет другую полезную нагрузку, сообщил менеджер AlienVault Labs Хайме Бласко во вторник в блоге.

Первый эксплойт был обнаружен в минувшие выходные на известном вредоносном сервере исследователем безопасности Эриком Романом и распространял ядовитый плющ. Вторая версия эксплойта, обнаруженная исследователями AlienVault, была найдена на другом сервере и устанавливает гораздо более новую программу RAT под названием PlugX.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Однако даты дат изменения файлов, оба сервера предполагают, что обе версии эксплойта использовались с по крайней мере 14 сентября.

«Мы знаем, что группа, активно использующая вредоносное ПО PlugX, также называемое Flowershow, имела доступ к Internet Explorer ZeroDay [эксплойт таргетинга на неуправляемую уязвимость] за несколько дней до того, как он был обнаружен », - сказал Бласко. «Из-за сходства нового обнаруженного кода эксплойта и того, который был обнаружен несколько дней назад, очень вероятно, что одна и та же группа стоит за обоими экземплярами».

Исследователи AlienVault отслеживают атаки, которые используют PlugX RAT с начала этого года, Основываясь на пути отладки файлов, обнаруженных внутри вредоносного ПО, они считают, что относительно новый RAT был разработан китайским хакером, известным как WHG, который ранее имел связь с Network Hacker Program Hacker (NCPH), известной китайской группой хакеров.

Исследователи AlienVault также идентифицировали два дополнительных веб-сайта, которые ранее использовали новый эксплойт IE, но от них не было получено никакой полезной нагрузки, сказал Бласко. Один из них был новостным сайтом защиты из Индии, а другой, вероятно, был поддельной версией 2-го Международного светодиодного профессионального симпозиума, сказал он. (Также см. «Вредоносные веб-приложения: как их определить, как их победить».)

«Кажется, ребята, стоявшие за этим 0day, нацелились на конкретные отрасли», - сказал Бласко.

Сервер, на котором работает оригинальный эксплойт IE было обнаружено, что в прошлом месяце был обнаружен эксплойт для уязвимости уязвимости Java. Этот эксплойт Java использовался в атаках, приписываемых исследователями безопасности, в китайскую группу хакеров, получившую название «Нитро».

Microsoft уже выпустила консультацию по безопасности в отношении новой уязвимости IE и рекомендовала временные решения по смягчению, когда она работает с патчем.