Pinakabagong Java zero-day exploit ay naka-link sa Bit9 hacker attack

Ang mga pag-atake natuklasan noong nakaraang linggo na pinagsamantalahan ng isang dating hindi kilalang Java kahinaan ay malamang na inilunsad ng parehong attackers na dating naka-target na seguridad firm Bit9 at ang mga customer nito, ayon sa mga mananaliksik mula sa antivirus vendor Symantec.

Mga mananaliksik mula sa FireEye, na natagpuan ang bagong pag-atake ng Java noong nakaraang linggo, ay nagsabi na ang Java exploit ay nag-i-install ng remote access piece ng malware na tinatawag na McRAT. banta, kung saan ang mga produkto ng Symantec ay nakakakita bilang Trojan.Naid, nagkokonekta pabalik sa isang command-and-control (C & C) server gamit ang 110.173.55.187 IP (Internet Protocol) address, Symantec r Ang mga esearcher ay nagsabi ng Biyernes sa isang blog post.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

"Nang kawili-wili, isang sample ng Trojan.Naid ay pinirmahan din ng nakompromiso na sertipiko ng Bit9 na tinalakay sa pag-update ng insidente ng seguridad ng Bit9 at ginagamit sa isang pag-atake sa isa pang partido, "sabi nila. "Ang sample na ito ay ginagamit din sa backchannel komunikasyon server IP address 110.173.55.187."

Certificate ninakaw

Huling buwan, Bit9, isang kumpanya na nagbebenta ng mga produkto ng seguridad gamit ang whitelisting teknolohiya, inihayag na hacker sinira sa isa sa mga server nito at ginagamit isa sa mga digital na sertipiko ng kumpanya upang mag-sign ng malware. Ang ganitong malware ay ginamit noon sa mga pag-atake laban sa ilang mga organisasyong US, ang kumpanya ay nagsabi.

"Sa kasunod na pag-atake sa tatlong target na organisasyon, ang mga attacker ay nagpakita na nakompromiso ang tiyak na mga website (isang watering hole style attack, katulad ng ay iniulat kamakailan sa pamamagitan ng Facebook, Apple at Microsoft), "sinabi ni CTO na si Bit9's Sverdlove sa isang blog post noong Lunes. "Naniniwala kami na inilagay ng mga attacker ang isang malisyosong Java applet sa mga site na gumagamit ng isang kahinaan sa Java upang maghatid ng mga karagdagang malisyosong file, kabilang ang mga file na nilagdaan ng naka-kompromiso na certificate."

Isa sa mga nakakahamak na file na nakakonekta pabalik sa IP address "110.173. 55.187 "sa port 80, sinabi ng Bit9 CTO. Ang IP ay nakarehistro sa isang address sa Hong Kong.

"Ang mga attacker ng Trojan.Naid ay labis na nagpapatuloy at nagpakita ng kanilang pagiging sopistikado sa maraming pag-atake," sabi ng mga mananaliksik ng Symantec. "Ang kanilang pangunahing pag-uudyok ay pang-industriyang paniniktik sa iba't ibang sektor ng industriya."

Maghanap ng mga zero-day flaws

Ang mga pag-atake na inilunsad nila ay kadalasang kinasasangkutan ng zero-day na mga kahinaan. Sa 2012 sila ay nagsagawa ng watering hole attack-isang atake na kung saan ang isang website na madalas na binisita ng mga target na target ay nahawaan-na pinagsamantalahan ng isang zero-araw na kahinaan sa Internet Explorer, sinabi ng Symantec mananaliksik.

Oracle ay hindi pa ibubunyag ang mga patching plan para sa mga pinakabagong Java kahinaan. Ang susunod na pag-update ng seguridad ng Java ay naka-iskedyul para sa Abril, ngunit maaaring magpasya ang kumpanya na palabasin ang isang pag-update sa emerhensiya bago nito.

Mga mananaliksik ng seguridad ay pinapayuhan ang mga gumagamit na hindi nangangailangan ng access sa Web-based na nilalaman ng Java upang alisin ang Java plug-in mula sa kanilang mga browser. Ang pinakabagong bersyon ng Java-Java 7 Update 15-ay nagbibigay ng isang opsyon sa pamamagitan ng control panel nito upang huwag paganahin ang mga plug-in ng Java o upang pilitin ang isang prompt ng kumpirmasyon bago ang Java applets ay pinapayagan na tumakbo sa loob ng browser.