Video: Calling All Cars: The Blonde Paper Hanger / The Abandoned Bricks / The Swollen Face (Lokakuu 2024)
Äskettäisen nollapäivän Java-hyväksikäytön kanssa lyödään "päivitä Java nyt" -rumpu ja pelataan "poista Java kokonaan käytöstä" -fife SecurityWatch- paraatissa. Jos tämä ei riitä, viimeaikaiset uutiset, että Punaisen lokakuun tietoverkkohyökkäyskampanja käyttivät Java-hyväksikäyttöä, ovat vain yksi syy pudota askeleeseen.
Seculert löysi Java-hyökkäysvektorin, ja se ilmoitti tiistaina yrityksen blogissa. Vaikka monet hyökkääjät käyttävät Java-hyväksikäyttöjä, se eroaa siitä, mitä aiemmin tiedettiin Punaisesta lokakuusta. Kaspersky Labsin alkuperäisessä kampanjaraportissa punaiselle lokakuulle oli luonteenomaista, että hän luottaa tarkkaan kohdennettuihin sähköposti-hyökkäyksiin tartunnan saaneilla tiedostoilla.
"Vektorina hyökkääjät lähettivät upotetulla linkillä varustetun sähköpostin erityisen muotoillulle PHP-verkkosivulle", Seculert kirjoittaa. "Tällä verkkosivulla on hyödynnetty Java-haavoittuvuutta (CVE-2011-3544), ja se latasi taustalla ja suoritti haittaohjelman automaattisesti."
Ei uusi hyväksikäyttö
Tärkeää on huomata, että Punaisen lokakuun käyttämä Java-hyökkäys ei ole nollapäivän hyväksikäyttö, jota olemme käsittäneet. Itse asiassa Seculert kirjoittaa, että tämä osa Punaisen lokakuun hyökkäyksestä kirjoitettiin noin helmikuussa 2012, kun taas sen käyttämä hyödyntäminen tehtiin lokakuussa 2011. Siksi sinun pitäisi pitää ohjelmistosi paikallaan ja ajan tasalla.
Kun punaisen lokakuun Java-näkökulmasta julkaistiin uutisia, Kaspersky lähetti seurannan, jossa oli lisätietoja. "Näyttää siltä, että ryhmä ei käyttänyt tätä vektoria raskaasti", kirjoittaa Kaspersky. "Kun latasimme '.jar' malcode-arkiston palvelemisesta vastaavan php: n, Java-hyväksikäyttöä toimittava koodirivi kommentoitiin."
Yrittäessään luonnehtia tätä hyökkäyksen osa-aluetta, Kaspersky ei usko, että tämä osoittaa erilaista lähestymistapaa punaiseen lokakuuhun mennessä. Sen sijaan he uskovat sen olevan metodologisten, hyvin tutkittujen hyökkäysten mukainen, jotka ovat Red Octoberin tavaramerkki.
Mitä se tarkoittaa
"Voimme spekuloida, että ryhmä toimitti haittaohjelmien hyötykuormansa asianmukaiselle kohteelle / kohteille muutaman päivän ajan, minkä jälkeen ei tarvinnut enää vaivaa", kirjoitti Kaspersky eilen. "Mikä voi myös kertoa meille, että tämän ryhmän, joka mukautti ja kehitti tarkkaan tunkeutumisen ja keräyksen työkalusarjansa uhriensa ympäristöön, oli tarve siirtyä Javalle tavanomaisista keihästekniikoistaan helmikuun 2012 alussa."
Kaspersky jatkoi kirjoittaen, että hyökkäyksen useat tekniset näkökohdat eroavat muista Punaisen lokakuun hyökkäyksistä, mikä saa tietoturvayrityksen uskomaan, että tämä hyökkäys on kehitetty tiettyä kohdetta varten.
On helpotusta kuulla, että Punaisen lokakuun Java-näkökohtaa ei käytetty kohdistamaan laajempaan joukkoon uhreja. Vaikka tämän verkkohyökkäyskampanjan tehokkuus on kauhistuttava, sen tekijät keskittyivät korkean tason hallitus- ja diplomaattisiin kohteisiin, eivät päivittäisiin käyttäjiin. Se osoittaa kuitenkin myös, että hyökkääjät tuntevat hyvin monet ohjelmistojen hyväksikäytöt, jotka hyödyntävät laiskoja käyttäjiä, jotka väistävät päivityksiään.
Seuraa Maxia lisää, seuraa häntä Twitterissä @wmaxeddy.
