Car-tech

IE exploit rozpowszechnia szkodliwe oprogramowanie PlugX, naukowcy twierdzą, że

Threat actors Sideloading - PlugX General Walkthrough

Threat actors Sideloading - PlugX General Walkthrough
Anonim

Naukowcy z firmy ochroniarskiej AlienVault zidentyfikowali wariant niedawno odkrytego exploita Internet Explorer, który jest używany do infekowania komputerów docelowych za pomocą programu Trojan dostępu zdalnego PlugX (RAT).

Nowo odkryty wariant exploita ma tę samą niezałataną lukę w IE 6, 7, 8 i 9, co oryginalny exploit, ale używa nieco innego kodu i ma inny ładunek - powiedział Jaime Blasco, menedżer AlienVault Labs, we wtorek w poście na blogu.

Pierwszy exploit został znaleziony podczas weekendu na znanym szkodliwym serwerze przez badacza bezpieczeństwa Erica Romanga i rozprowadził Truciciela Ivy RAT. Druga wersja exploita odkryta przez badaczy AlienVault została znaleziona na innym serwerze i instaluje znacznie nowszy program RAT o nazwie PlugX.

[Dalsze czytanie: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Jednak daty modyfikacji plików widoczne na oba serwery sugerują, że obie wersje exploita są w użyciu od co najmniej 14 września.

"Wiemy, że grupa aktywnie używająca szkodliwego oprogramowania PlugX, zwanego także Flowershow, miała dostęp do ZeroDay przeglądarki Internet Explorer [wykorzystywanie kierowania na niezałataną lukę w zabezpieczeniach] dni przed tym, jak został odkryty, "powiedział Blasco. "Ze względu na podobieństwa między nowym wykrytym kodem exploita a odkrytym kilka dni temu jest bardzo prawdopodobne, że ta sama grupa znajduje się za obydwoma instancjami."

Naukowcy z AlienVault śledzili ataki wykorzystujące PlugX RAT od początku tego roku. Opierając się na ścieżkach debugowania plików znajdujących się wewnątrz szkodliwego oprogramowania, wierzy, że stosunkowo nowy RAT został opracowany przez chińskiego hakera znanego jako WHG, który wcześniej miał powiązania z Hackerem Network Crack (NCPH), dobrze znaną chińską grupą hakerską.

Badacze AlienVault zidentyfikowali w przeszłości dwie dodatkowe strony internetowe, które służyły nowemu exploitowi IE, ale nie można było uzyskać z nich żadnej ładowności, powiedział Blasco. Jednym z nich był serwis informacyjny o obronności z Indii, a drugi był prawdopodobnie fałszywą wersją 2. Międzynarodowego Sympozjum dla profesjonalistów LED, powiedział. (Zobacz także "Złośliwe aplikacje internetowe: jak je wykrywać, jak je pokonać.")

"Wygląda na to, że faceci stojące za tymi 0 dniami byli adresowani do konkretnych branż", powiedział Blasco.

Serwer, na którym pierwotny exploit IE został znaleziony również exploit dla luki w zabezpieczeniach Javy w zeszłym miesiącu. Ten exploit w języku Java został wykorzystany w atakach przypisywanych przez badaczy bezpieczeństwa chińskiej grupie hakerów o nazwie "Nitro".

Microsoft wydał już poradę bezpieczeństwa dotyczącą nowej luki w IE i zalecił tymczasowe rozwiązania łagodzące, podczas gdy działa na łatce.