Последний эксплойт Java zero-day, связанный с хакерской атакой Bit9

Атаки, обнаруженные на прошлой неделе, которые использовали ранее неизвестную уязвимость Java, вероятно, были запущены теми же атакующими, Бит9 и ее клиенты, по мнению исследователей из антивирусного поставщика Symantec.

Исследователи безопасности из FireEye, которые обнаружили новые атаки Java на прошлой неделе, заявили, что эксплойт Java устанавливает удаленную часть вредоносного ПО под названием McRAT.

угроза, которую продукты Symantec обнаруживают как Trojan.Naid, подключается обратно к серверу управления и управления (C & C), используя IP-адрес 110.173.55.187 IP (интернет-протокол), Symantec r (

). «Интересно, что образец Trojan.Naid был также подписан взломанным сертификатом Bit9, обсуждавшимся в обновлении инцидента безопасности Bit9 и использовались в нападении на другую сторону », - сказали они. «В этом примере также использовался IP-адрес сервера обмена каналами связи 110.173.55.187».

Сертификат украден

В прошлом месяце Bit9, компания, которая продает продукты безопасности с использованием технологии whitelisting, объявила, что хакеры ворвались на один из своих серверов и использовали один из цифровых сертификатов компании для подписи вредоносного ПО. Это вредоносное ПО затем использовалось в атаках против нескольких американских организаций, говорится в сообщении компании.

«В последующих атаках на три целевые организации злоумышленники, похоже, уже скомпрометировали определенные веб-сайты (например, был недавно сообщен Facebook, Apple и Microsoft), - сказал технический директор Bit9 Гарри Свердлоу в своем блоге в прошлый понедельник. «Мы считаем, что злоумышленники ввели вредоносный Java-апплет на те сайты, которые использовали уязвимость в Java, для доставки дополнительных вредоносных файлов, включая файлы, подписанные скомпрометированным сертификатом».

Один из этих вредоносных файлов, подключенных к IP-адресу «110.173. 55.187 "над портом 80, сказал технический директор Bit9. IP зарегистрирован на адрес в Гонконге.

«Нападавшие Trojan.Naid были чрезвычайно настойчивыми и продемонстрировали свою сложность в нескольких атаках», - сказали исследователи Symantec. «Их основной мотивацией был промышленный шпионаж в различных отраслях промышленности».

Ищите недостатки нулевого дня

Атаки, которые они запускают, обычно включают уязвимость в нулевой день. Исследователи Symantec сообщили, что в 2012 году они провели атаку с помощью поливной дыры - атаку, где сайт, часто посещаемый намеченными целями, был заражен уязвимостью в ночном дне в Internet Explorer.

Oracle еще не раскрыла свои планы исправления для этой последней уязвимости Java. Следующее обновление безопасности Java было запланировано на апрель, но компания может принять решение о выпуске экстренного обновления до этого времени.

Исследователи безопасности сообщили пользователям, которым не нужен доступ к веб-содержимому Java, чтобы удалить подключаемый модуль Java из их браузеров. Последняя версия Java-Java 7 Update 15 - предоставляет возможность через панель управления отключать подключаемые модули Java или принудительно запрашивать подтверждение, прежде чем Java-апплеты могут запускаться внутри браузера.