Threat actors Sideloading - PlugX General Walkthrough
Naukowcy z firmy ochroniarskiej AlienVault zidentyfikowali wariant niedawno odkrytego exploita Internet Explorer, który jest używany do infekowania komputerów docelowych za pomocą programu Trojan dostępu zdalnego PlugX (RAT).
Nowo odkryty wariant exploita ma tę samą niezałataną lukę w IE 6, 7, 8 i 9, co oryginalny exploit, ale używa nieco innego kodu i ma inny ładunek - powiedział Jaime Blasco, menedżer AlienVault Labs, we wtorek w poście na blogu.
Pierwszy exploit został znaleziony podczas weekendu na znanym szkodliwym serwerze przez badacza bezpieczeństwa Erica Romanga i rozprowadził Truciciela Ivy RAT. Druga wersja exploita odkryta przez badaczy AlienVault została znaleziona na innym serwerze i instaluje znacznie nowszy program RAT o nazwie PlugX.
Jednak daty modyfikacji plików widoczne na oba serwery sugerują, że obie wersje exploita są w użyciu od co najmniej 14 września.
"Wiemy, że grupa aktywnie używająca szkodliwego oprogramowania PlugX, zwanego także Flowershow, miała dostęp do ZeroDay przeglądarki Internet Explorer [wykorzystywanie kierowania na niezałataną lukę w zabezpieczeniach] dni przed tym, jak został odkryty, "powiedział Blasco. "Ze względu na podobieństwa między nowym wykrytym kodem exploita a odkrytym kilka dni temu jest bardzo prawdopodobne, że ta sama grupa znajduje się za obydwoma instancjami."
Naukowcy z AlienVault śledzili ataki wykorzystujące PlugX RAT od początku tego roku. Opierając się na ścieżkach debugowania plików znajdujących się wewnątrz szkodliwego oprogramowania, wierzy, że stosunkowo nowy RAT został opracowany przez chińskiego hakera znanego jako WHG, który wcześniej miał powiązania z Hackerem Network Crack (NCPH), dobrze znaną chińską grupą hakerską.
Badacze AlienVault zidentyfikowali w przeszłości dwie dodatkowe strony internetowe, które służyły nowemu exploitowi IE, ale nie można było uzyskać z nich żadnej ładowności, powiedział Blasco. Jednym z nich był serwis informacyjny o obronności z Indii, a drugi był prawdopodobnie fałszywą wersją 2. Międzynarodowego Sympozjum dla profesjonalistów LED, powiedział. (Zobacz także "Złośliwe aplikacje internetowe: jak je wykrywać, jak je pokonać.")
"Wygląda na to, że faceci stojące za tymi 0 dniami byli adresowani do konkretnych branż", powiedział Blasco.
Serwer, na którym pierwotny exploit IE został znaleziony również exploit dla luki w zabezpieczeniach Javy w zeszłym miesiącu. Ten exploit w języku Java został wykorzystany w atakach przypisywanych przez badaczy bezpieczeństwa chińskiej grupie hakerów o nazwie "Nitro".
Microsoft wydał już poradę bezpieczeństwa dotyczącą nowej luki w IE i zalecił tymczasowe rozwiązania łagodzące, podczas gdy działa na łatce.
Naukowcy twierdzą, że duży skok w nanoskalowej pamięci masowej
Naukowcy twierdzą, że osiągnęli przełom, który pasowałby do zawartości 250 płyt DVD na powierzchni wielkości monety.
Naukowcy bezpieczeństwa identyfikują szkodliwe oprogramowanie infekujące amerykańskie banki
Naukowcy bezpieczeństwa z firmy Symantec zidentyfikowali kradnący informacje program trojański, który był używany do infekowania serwerów komputerowych należących do różnych Stanów Zjednoczonych. instytucje finansowe.
Naukowcy odkrywają szkodliwe oprogramowanie ukierunkowane na internetowe oprogramowanie do handlu akcjami
Badacze bezpieczeństwa z rosyjskich dochodzeń w sprawie cyberprzestępczości, firma Groub-IB, niedawno zidentyfikowała nowy kawałek złośliwego oprogramowania, którego celem było kradzież dane logowania z wyspecjalizowanego oprogramowania używanego do handlu akcjami i innymi papierami wartościowymi online.