L'ultimo exploit zero-day Java è collegato all'attacco hacker Bit9

Gli attacchi scoperti la scorsa settimana che hanno sfruttato una vulnerabilità Java precedentemente sconosciuta sono stati probabilmente lanciati dagli stessi aggressori che in precedenza avevano preso di mira la sicurezza secondo i ricercatori del fornitore di antivirus Symantec.

I ricercatori di sicurezza di FireEye, che hanno scoperto i nuovi attacchi Java la settimana scorsa, hanno detto che l'exploit Java installa un malware di accesso remoto chiamato McRAT.

The minaccia, che i prodotti Symantec rilevano come Trojan.Naid, si ricollega a un server command-and-control (C & C) utilizzando l'indirizzo IP (Internet Protocol) 110.173.55.187, Symantec r esearchers ha detto Venerdì in un post sul blog.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

"È interessante notare che un esempio di Trojan.Naid è stato anche firmato dal certificato Bit9 compromesso discusso nell'aggiornamento degli incidenti di sicurezza Bit9 e usato in un attacco contro un'altra parte ", hanno detto. "Questo esempio ha utilizzato anche l'indirizzo IP del server di comunicazione backchannel 110.173.55.187."

Certificato rubato

Il mese scorso, Bit9, un'azienda che vende prodotti di sicurezza utilizzando la tecnologia whitelisting, ha annunciato che gli hacker hanno fatto irruzione in uno dei suoi server e utilizzato uno dei certificati digitali dell'azienda per firmare il malware. Il malware è stato poi utilizzato in attacchi contro alcune organizzazioni statunitensi, ha detto la società.

"Nei successivi attacchi contro le tre organizzazioni bersaglio, gli aggressori sembravano aver già compromesso siti Web specifici (un attacco stile buca d'acqua, simile a quello è stato recentemente segnalato da Facebook, Apple e Microsoft), "il CTO di Bit9 Harry Sverdlove ha detto in un post sul blog lo scorso lunedì. "Riteniamo che gli aggressori abbiano inserito un'applet Java dannosa su quei siti che hanno utilizzato una vulnerabilità in Java per fornire ulteriori file dannosi, inclusi i file firmati dal certificato compromesso."

Uno di quei file maligni connessi all'indirizzo IP "110.173. 55.187 "sulla porta 80, il Bit9 CTO ha detto. L'IP è registrato ad un indirizzo di Hong Kong.

"Gli aggressori di Trojan.Naid sono stati estremamente persistenti e hanno dimostrato la loro raffinatezza in molteplici attacchi", hanno detto i ricercatori di Symantec. "La loro motivazione principale è stata lo spionaggio industriale su una varietà di settori industriali".

Cercare difetti zero-day

Gli attacchi che lanciano solitamente implicano vulnerabilità zero-day. Nel 2012 hanno condotto un attacco da abbeveratoio - un attacco in cui un sito Web visitato frequentemente dagli obiettivi previsti è infetto - che ha sfruttato una vulnerabilità zero-day in Internet Explorer, hanno detto i ricercatori di Symantec.

Oracle non ha ancora rivelato i suoi piani di patching per questa ultima vulnerabilità di Java. Il prossimo aggiornamento della sicurezza Java è stato programmato per aprile, ma la società potrebbe decidere di rilasciare un aggiornamento di emergenza prima di allora.

I ricercatori di sicurezza hanno consigliato agli utenti che non hanno bisogno di accedere al contenuto Java basato sul Web per rimuovere il plug-in Java dai loro browser. L'ultima versione di Java-Java 7 Update 15-fornisce un'opzione tramite il suo pannello di controllo per disabilitare i plug-in Java o per forzare una richiesta di conferma prima che le applet Java possano funzionare all'interno del browser.