Видео: Format String Vulnerabilities Lunchbox (Ноябрь 2024)
С недавним эксплойтом Java для нулевого дня, мы избили барабан «обновить Java сейчас» и сыграли «отключить Java в целом» в параде SecurityWatch . Если этого было недостаточно, недавние новости о том, что в кампании по кибератакам «Красный Октябрь» использовался эксплойт на Java, - это еще одна причина, чтобы не вмешиваться.
Вектор атаки Java был обнаружен Seculert и объявлен во вторник в блоге компании. Хотя многие злоумышленники используют эксплойты Java, это отличается от того, что ранее было известно о Red October. В первоначальном отчете об этой кампании, проведенном «Лабораторией Касперского», «Красный Октябрь» характеризовался тем, что он использовал целенаправленные атаки по электронной почте с использованием зараженных файлов.
«В векторе злоумышленники отправили электронное письмо со встроенной ссылкой на специально созданную веб-страницу PHP», - пишет Секулерт. «Эта веб-страница использовала уязвимость в Java (CVE-2011-3544), и в фоновом режиме автоматически загружала и запускала вредоносное ПО».
Не новый подвиг
Важно отметить, что атака Java, используемая Red October, не является эксплойтом нулевого дня, который мы освещали. На самом деле Seculert пишет, что эта часть атаки «Красный Октябрь» была написана примерно в феврале 2012 года, а эксплойт, который она использует, был исправлен в октябре 2011 года. Вот почему вы должны постоянно обновлять свое программное обеспечение.
После того, как новость о Java-аспекте Red October была опубликована, Kaspersky опубликовал продолжение с дополнительной информацией. «Похоже, этот вектор не был активно использован группой», - пишет Касперский. «Когда мы загрузили php, отвечающий за обслуживание архива вредоносных кодов«.jar », строка кода, предоставляющая эксплойт java, была закомментирована».
Пытаясь охарактеризовать этот аспект атаки, Касперский не считает, что это указывает на иной подход к «Красному октябрю». Вместо этого они считают, что это соответствует методическим, хорошо изученным атакам, которые являются торговой маркой Красного Октября.
Что это означает
«Мы можем предположить, что группа успешно доставила полезную нагрузку вредоносного ПО в соответствующие цели в течение нескольких дней, а затем больше не нуждалась в этом», - написал вчера Касперский. «Что также может сказать нам, что этой группе, которая тщательно адаптировала и разработала свой набор инструментов для проникновения и сбора данных в среду своих жертв, в начале февраля 2012 года пришлось перейти на Java со своих обычных методов подводной охоты».
Далее Касперский писал, что некоторые технические аспекты этой атаки отличаются от других атак на «Красный Октябрь», что заставляет компанию безопасности полагать, что эта эксплойт был разработан для конкретной цели.
Приятно слышать, что Java-аспект Red October не использовался для более широкого охвата жертв. В то время как эта кампания кибератак ужасна по своей эффективности, ее создатели сосредоточились на важных государственных и дипломатических целях, а не на обычных пользователях. Однако это также демонстрирует, что многие программные эксплойты хорошо известны злоумышленникам, которые воспользуются ленивыми пользователями, которые прогуливают свои обновления.
Чтобы узнать больше о Максе, следите за ним в Твиттере @wmaxeddy.