Video: The Hunt for Red October by Tom Clancy Audiobook (Oktober 2024)
Med den nylige dagers utnyttelse for Java, slår vi trommen "oppdater Java nå" og spiller "deaktiver Java helt" -fife i SecurityWatch- paraden. Hvis det ikke var nok, er nyere nyheter om at cyberangrepskampanjen i oktober i oktober brukte en Java-utnyttelse bare én grunn til å falle i trinn.
Java-angrepsvektoren ble oppdaget av Seculert og kunngjort tirsdag på selskapets blogg. Mens mange angripere benytter seg av Java-utnyttelser, skiller det seg fra det som tidligere var kjent om Red October. I den første rapporten om kampanjen fra Kaspersky Labs ble Red October preget av å stole på svært målrettede e-postangrep med spearphishing med infiserte filer.
"I vektor sendte angriperne en e-post med en innebygd lenke til en spesiallaget PHP-webside, " skriver Seculert. "Denne nettsiden utnyttet et sikkerhetsproblem i Java (CVE-2011-3544), og i bakgrunnen lastet ned og utførte skadelig programvare automatisk."
Ikke en ny utnyttelse
Viktig å merke seg er at Java-angrepet som ble brukt av Red October ikke er den nulldagers utnyttelsen vi har dekket. Faktisk skriver Seculert at denne delen av Red October-angrepet ble skrevet rundt februar 2012, mens utnyttelsen den bruker ble lappet i oktober 2011. Dette er grunnen til at du bør holde programvaren oppdatert og oppdatert.
Etter at nyheter om Java-aspektet av Red October ble publisert, la Kaspersky opp en oppfølging med mer informasjon. "Det ser ut til at denne vektoren ikke ble brukt tungt av gruppen, " skriver Kaspersky. "Da vi lastet ned php som var ansvarlig for å betjene '.jar' malkodearkiv, ble linjen med kode som leverte Java-utnyttelsen kommentert."
Ved å prøve å karakterisere dette aspektet av angrepet, tror ikke Kaspersky at dette indikerer en annen tilnærming fra Red October. I stedet tror de at det er i tråd med de metodiske, godt undersøkte angrepene som er Red October's varemerke.
Hva det betyr
"Vi kunne spekulere i at gruppen med suksess leverte nyttelasten til skadelig programvare til det aktuelle målet i noen dager, for ikke å trenge lenger, " skrev Kaspersky i går. "Som også kan fortelle oss at denne gruppen, som omhyggelig tilpasset og utviklet infiltrasjons- og innsamlingsverktøysettet til ofrenes miljø, hadde et behov for å skifte til Java fra sine vanlige spearphishing-teknikker i begynnelsen av februar 2012."
Kaspersky fortsatte å skrive at flere tekniske aspekter ved dette angrepet skiller seg fra andre Red October-angrep, noe som får sikkerhetsselskapet til å tro at denne utnyttelsen ble utviklet for et spesifikt mål.
Det er en lettelse å høre at Java-aspektet av rød oktober ikke ble brukt til å målrette mot et større offer for ofre. Mens denne nettangrepskampanjen er skremmende i sin effektivitet, fokuserte skaperne på høyprofilerte regjerings- og diplomatiske mål og ikke dagligdags brukere. Imidlertid demonstrerer det også at mange programvareutnyttelser er godt kjent av angripere, som vil dra nytte av late brukere som skjuler sine oppdateringer.
For mer fra Max, følg ham på Twitter @wmaxeddy.
