Nejnovější exploatace Java je spojena s hackerovým útokem Bit9

Útoky objevené minulý týden, které využívaly dříve neznámou zranitelnost Java, byly pravděpodobně zahájeny stejnými útočníky, firmou Bit9 a jejími zákazníky, podle výzkumníků od dodavatele antivirových aplikací Symantec.

Vědci v oblasti bezpečnosti, kteří v minulém týdnu našli nové útoky Java, uvedli, že Java exploit instaluje malware se vzdáleným přístupem nazvaný McRAT. hrozbu, kterou produkty Symantec zjistí jako Trojan.Naid, se připojí zpět k serveru příkazu a řízení (C & C) pomocí adresy 110.173.55.187 IP (Internet Protocol), Symantec r "

" Zajímavé je, že vzorek Trojan.Naid byl také podepsán kompromitovaným certifikátem Bit9 popsaným v aktualizaci bezpečnostní incidentu Bit9 a použil při útoku na jinou stranu, "řekli. "Tento vzorek také použil adresu IP 110.173.55.187 na komunikačním serveru backchannel."

Kradené certifikát

Minulý měsíc společnost Bit9, která prodává bezpečnostní produkty pomocí technologií whitelisting, oznámila, že hackeři přerušili jeden ze svých serverů a použili jeden z digitálních certifikátů společnosti podepsat malware. Ten malware byl poté použit při útoku proti několika americkým organizacím, uvedla společnost.

"V následných útocích na tři cílové organizace se zdálo, že útočníci již napadli konkrétní webové stránky byla nedávno oznámena společnostmi Facebook, Apple a Microsoft), "řekl CTO společnosti Bit9 Harry Sverdlove v blogu v pondělí. "Jsme přesvědčeni, že útočníci vložili škodlivý applet Java na stránky, které používaly chybu v Javě a dodaly další škodlivé soubory, včetně souborů podepsaných kompromitovaným certifikátem."

Jeden z těchto škodlivých souborů připojených zpět na adresu IP "110.173. 55,187 "nad port 80, řekl CTO Bit9. IP adresa je registrována na adrese v Hongkongu.

"Útočníci Trojan.Naid byli extrémně vytrvalí a projevili svou složitost v několika útoků," uvedli výzkumní pracovníci společnosti Symantec. "Jejich primární motivací byla průmyslová špionáž v různých průmyslových odvětvích."

Hledání defektů za nulový den

Útoky, které spouštějí, obvykle zahrnují zranitelnost v nulové době. V roce 2012 provedli útok zavlažovacího otvoru - útok, kdy je nakažena webová stránka často navštěvovaná zamýšlenými cíli - která využívala v aplikaci Internet Explorer zranitelnost v nulové době, uvedli výzkumní pracovníci společnosti Symantec.

Společnost Oracle musí ještě odhalit své plány pro tuto nejnovější chybu Java. Další aktualizace zabezpečení pro systém Java byla naplánována na duben, ale společnost se může rozhodnout, že předtím bude vydávat nouzovou aktualizaci.

Vědci v oblasti bezpečnosti radili uživatelům, kteří nepotřebují přístup k obsahu jazyka Java na webu, aby odstranili plug-in Java z jejich prohlížečů. Nejnovější verze aplikace Java-Java 7 Update 15 poskytuje volbu prostřednictvím ovládacího panelu pro vypnutí zásuvných modulů Java nebo pro vyvolání výzvy k potvrzení před povolením Java appletů v prohlížeči.