Letzter Java-Zero-Day-Exploit ist mit Bit9 Hackerangriff verknüpft

Die in der vergangenen Woche entdeckten Angriffe auf eine bisher unbekannte Java-Schwachstelle wurden wahrscheinlich von denselben Angreifern wie zuvor auf Sicherheitslücken gestartet Englisch: bio-pro.de/en/region/freiburg/magaz…1/index.html Die Sicherheitsforscher von FireEye, die letzte Woche die neuen Java - Angriffe gefunden haben, berichten, dass der Java - Exploit eine Malware namens McRAT installiert, die auf Remote - Zugriff basiert Bedrohung, die Symantec-Produkte als Trojan.Naid erkennen, stellt eine Verbindung zu einem C & C-Server mit der IP-Adresse 110.173.55.187 (Internet Protocol) her, Symantec r Esearchers sagte Freitag in einem Blog-Post.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

"Interessanterweise wurde auch ein Trojan.Naid-Beispiel von dem kompromittierten Bit9-Zertifikat im Bit9-Sicherheitsvorfall-Update unterzeichnet und in einem Angriff auf eine andere Partei verwendet ", sagten sie. "Dieses Beispiel verwendete auch die Backchannel-Kommunikationsserver-IP-Adresse 110.173.55.187."

Zertifikat gestohlen

Letzten Monat kündigte Bit9, ein Unternehmen, das Sicherheitsprodukte mit Whitelisting-Technologie verkauft, an, dass Hacker in einen seiner Server eingebrochen sind eines der digitalen Zertifikate des Unternehmens zur Signierung von Malware. Diese Malware wurde dann bei Angriffen gegen einige US-amerikanische Organisationen eingesetzt, so das Unternehmen.

"Bei den darauffolgenden Angriffen auf die drei Zielorganisationen hatten die Angreifer offenbar bereits bestimmte Websites kompromittiert (ähnlich wie bei einem Wasserloch-Angriff) wurde kürzlich von Facebook, Apple und Microsoft berichtet), "sagte Bit9s CTO Harry Sverdlove letzten Montag in einem Blogpost. "Wir glauben, dass die Angreifer ein böswilliges Java-Applet auf Websites mit einer Sicherheitslücke in Java eingefügt haben, um zusätzliche schädliche Dateien zu übermitteln, darunter auch Dateien, die vom kompromittierten Zertifikat signiert wurden."

Eine dieser schädlichen Dateien ist mit der IP-Adresse 110.173 verbunden. 55,187 "über Port 80, sagte der Bit9 CTO. Die IP ist an einer Adresse in Hongkong registriert.

"Die Trojaner.Naid-Angreifer waren extrem hartnäckig und haben ihre Komplexität bei mehreren Angriffen unter Beweis gestellt", sagten die Symantec-Forscher. "Ihre Hauptmotivation war Industriespionage in einer Vielzahl von Branchen."

Zero-Day-Fehler suchen

Die Angriffe, die sie starten, beinhalten normalerweise Zero-Day-Schwachstellen. 2012 führten sie einen Watering-Hole-Angriff durch - einen Angriff, bei dem eine häufig von den vorgesehenen Zielen besuchte Website infiziert wurde -, die eine Zero-Day-Schwachstelle im Internet Explorer ausnutzte, sagten die Symantec-Forscher.

Oracle hat seine Patch-Pläne noch nicht veröffentlicht für diese letzte Java-Schwachstelle. Das nächste Java-Sicherheitsupdate wurde für April geplant, aber das Unternehmen könnte vor diesem Zeitpunkt ein Notfallupdate veröffentlichen.

Sicherheitsforscher haben Benutzer, die keinen Zugriff auf webbasierten Java-Inhalt benötigen, angewiesen, das Java-Plug-in zu entfernen von ihren Browsern. Die neueste Version von Java-Java 7 Update 15 bietet über das Control Panel eine Option zum Deaktivieren der Java-Plugins oder zum Erzwingen einer Bestätigungsaufforderung, bevor Java-Applets im Browser ausgeführt werden dürfen.