Viimeinen nollapäivän Java-hyötysuhde on linkitetty Bit9-hyökkääjän hyökkäykseen

Viime viikolla löydetyt hyökkäykset, jotka hyödynsivät aikaisemmin tuntemattoman Java-haavoittuvuuden, ovat todennäköisesti käynnistäneet samat hyökkääjät, jotka aiemmin kohdistivat tietoturvaan

FireEye'n tietoturvatutkijat, jotka löysivät uuden Java-iskujen viime viikolla, sanoivat, että Java-hyödyntäjä asentaa etäkäytön haittaohjelmat, joita kutsutaan nimellä McRAT.

uhka, jotka Symantec-tuotteet havaitsevat Trojan.Naid, yhdistää takaisin komento-ja-ohjaus (C & C) -palvelimeen 110.173.55.187 IP (Internet Protocol) -osoite, Symantec r

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

"Mielenkiintoista on, että Bit9-tietoturvahäiriöiden päivityksessä käsitelty Bit9-sertifikaatti on allekirjoitettu Trojan.Naid-näytteellä. ja käytettiin hyökkäyksessä toiselle puolueelle ", he sanoivat. "Tämä näyte käytti myös backchannel-viestintäpalvelimen IP-osoitetta 110.173.55.187."

Varastettu varmenteet

Viime kuussa Bit9, yritys, joka myy tietoturvatuotteita sallittujen sallittujen tekniikoiden avulla, ilmoitti hakkereista murtautuneensa yhteen sen palvelimista ja käytti yksi yrityksen digitaalisista sertifikaateista haittaohjelmien allekirjoittamiseksi. Kyseistä haittaohjelmia käytettiin sitten hyökkäyksissä muutamia Yhdysvaltain organisaatioita kohtaan.

"Seuraavissa kolmessa kohdeorganisaatiossa tapahtuneissa hyökkäyksissä hyökkääjät näyttivät jo vaaranneet tietyt verkkosivustot (kastelu-reiän tyyli-hyökkäys, samanlainen kuin mitä ilmestyi äskettäin Facebook, Apple ja Microsoft), "Bit9: n CTO Harry Sverdlove sanoi blogiviestissä viime maanantaina. "Uskomme, että hyökkääjät asettivat haitallisen Java-sovelman niille sivustoille, jotka käyttivät Java-haavoittuvuutta toimittamaan muita haittaohjelmia, mukaan lukien vaarallisten asiakirjojen allekirjoittamat tiedostot."

Yksi niistä vahingollisista tiedostoista, jotka on liitetty IP-osoitteeseen "110.173. 55.187 "sataman yli 80, Bit9 CTO sanoi. IP on rekisteröity Hongkongissa osoitteeseen.

"Trojan.Naid-hyökkääjät ovat olleet äärimmäisen jatkuvaa ja ovat osoittaneet monimutkaisten hyökkäystensä hienostuneisuuden", Symantecin tutkijat sanoivat. "Heidän ensisijainen motivaatio on ollut teollinen vakoilu monilla teollisuudenaloilla."

Etsi nollakohtaisia ​​virheitä

Heidän käynnistämässään hyökkäyksellä on yleensä nollapäivän haavoittuvuuksia. Vuonna 2012 he tekivät kasteluun liittyvän hyökkäyksen - hyökkäyksen, jossa kohdennetut kohteet vierailivat usein verkkosivustolla - tarttui nollapäivän haavoittuvuuteen Internet Explorerissa, Symantecin tutkijat sanoivat.

Oracle ei ole vielä paljastanut korjaussuunnitelmiaan tämä viimeisin Java-haavoittuvuus. Seuraava Java-tietoturvapäivitys oli ajoitettu huhtikuulle, mutta yritys voi päättää julkaista hätäpäivityksen ennen.

Turvallisuustutkijat ovat neuvoneet käyttäjiä, jotka eivät tarvitse Web-pohjaista Java-sisältöä, poistamaan Java-laajennuksen niiden selaimista. Java-Java 7 Update 15: n uusin versio tarjoaa mahdollisuuden Java-laajennusten poistamiseen ohjauspaneelin kautta tai pakottaa vahvistusviestin, ennen kuin Java-sovellukset saavat käyttää selaimen sisällä.