Exploitation Using Java RMI Service - Metasploit Minute
Inhoudsopgave:
De aanvallen die vorige week werden ontdekt en die een voorheen onbekend Java-beveiligingslek exploiteerden, werden waarschijnlijk gelanceerd door dezelfde aanvallers die eerder op beveiliging waren gericht bedrijf Bit9 en zijn klanten, volgens onderzoekers van antivirusleverancier Symantec.
Beveiligingsonderzoekers van FireEye, die vorige week de nieuwe Java-aanvallen vonden, zeiden dat de Java-exploit een stuk malware op afstand installeert dat McRAT heet.
bedreiging, die Symantec-producten detecteren als Trojan.Naid, opnieuw verbinding maakt met een opdracht-en-controle (C & C) -server met behulp van het adres 110.173.55.187 IP (Internet Protocol), Symantec r esearchers zei vrijdag in een blogpost.
[Lees meer: Hoe malware van uw Windows-pc te verwijderen]"Interessant is dat een Trojan.Naid-voorbeeld ook is ondertekend door het aangetaste Bit9-certificaat dat is besproken in de Bit9-update voor beveiligingsincidenten en gebruikt in een aanval op een andere partij, "zeiden ze. "Dit voorbeeld maakte ook gebruik van het IP-adres 110.173.55.187 van de backchannelcommunicatieserver."
Certificaat gestolen
Vorige maand kondigde Bit9, een bedrijf dat beveiligingsproducten verkoopt met behulp van whitelistingtechnologie, aan dat hackers op een van zijn servers zijn ingebroken en zijn gebruikt een van de digitale certificaten van het bedrijf om malware te ondertekenen. Die malware werd vervolgens gebruikt bij aanvallen tegen een paar Amerikaanse organisaties, zei het bedrijf.
"Bij de daaropvolgende aanvallen op de drie doelorganisaties leken de aanvallers al specifieke websites te hebben aangetast (een watergataanval, vergelijkbaar met wat werd onlangs gerapporteerd door Facebook, Apple en Microsoft), "zei CTO Harry Sverdlove van Bit9 afgelopen maandag in een blogpost. "We denken dat de aanvallers een schadelijke Java-applet hebben ingevoegd op die sites die een kwetsbaarheid op Java hebben gebruikt om extra schadelijke bestanden te leveren, inclusief bestanden die zijn ondertekend door het gecompromitteerde certificaat."
Een van die schadelijke bestanden die zijn verbonden met IP-adres "110.173. 55.187 "boven poort 80, zei de Bit9 CTO. Het IP is geregistreerd op een adres in Hong Kong.
"De aanvallers van Trojan.Naid zijn extreem persistent en hebben hun verfijning getoond bij meerdere aanvallen", aldus de onderzoekers van Symantec. "Hun primaire motivatie was industriële spionage in verschillende bedrijfstakken."
Zoek naar zero-day-tekortkomingen
De aanvallen die ze lanceren, houden meestal zero-day-kwetsbaarheden in. In 2012 voerden ze een watergataanval uit - een aanval waarbij een website die vaak door de beoogde doelen wordt bezocht, is geïnfecteerd - die een zero-day-kwetsbaarheid in Internet Explorer uitbracht, aldus de onderzoekers van Symantec.
Beveiligingsonderzoekers hebben gebruikers geadviseerd die geen toegang tot webgebaseerde Java-inhoud nodig hebben om de Java-invoegtoepassing te verwijderen van hun browsers. De nieuwste versie van Java-Java 7-update 15 biedt via zijn configuratiescherm de optie om de Java-plug-ins uit te schakelen of een bevestiging te vragen voordat Java-applets in de browser mogen worden uitgevoerd.
Handelsgroep PIN-SME wil een einde maken aan praktijken waarin staat dat MKB-bedrijven in IE en blokkeer ze uit cloud computing.
De Commissie heeft het pan-Europese ICT- en eBusiness-netwerk voor het MKB (PIN-SME) als belanghebbende derde partij aanvaard in een zaak betreffende de bundeling van de browser van Microsoft, Internet Explorer (IE), met het Windows-besturingssysteem.
Oracle-rasterupdate gekoppeld aan opkomende cloud Trend
In-memory-gegevensrasters kunnen zich dankzij cloud computing beter profileren, aldus waarnemers.
Georgië Cyberattacks gekoppeld aan de Russische georganiseerde misdaad
De cyberaanvallen tegen Georgië een jaar geleden werden uitgevoerd in nauwe samenwerking met Russische criminele bendes.