MiniDuke ne dolazi samo putem emaila - malver koristi i ranjivosti u Java-i i IE 8

Vesti, 12.03.2013, 07:40 AM

MiniDuke ne dolazi samo putem emaila - malver koristi i ranjivosti u Java-i i IE 8

Istraživači koji su otkrili kampanju ciljanih sajber napada na institucije vlasti i organizacije u 23 države sveta, od kojih su većina evropske države, sada su otkrili i dva nova vektora napada.

Kampanju koju je predvodio malver MiniDuke otkrili su istraživači kompanija Kaspersky Lab i CrySys krejem prošlog meseca. Ono što se tada znalo je da je reč o 0-day napadima na ranjivost u Adobe Reader 9, 10 i 11 (CVE-2013-0640), u kojima se zaobilazila sandbox zaštita. Napadi su realizovani pomoću spear-phishing emailova u kojima su se nalazili PDF fajlovi vrlo uverljivog izgleda, koji su obećavali informacije o seminaru o ljudskim pravima, ukrajinskoj spoljnoj politici i planovima država članica NATO.

Sada su istraživači Kaspersky Lab-a i CrySys-a otkrili da su u kampanji korišćena još dva vektora napada. Novootrkiveni vektori infekcije oslanjaju se na ranjivosti u Java i Internet Explorer-u.

Analizirajući jedan od servera za komandu i kontrolu malvera MiniDuke, istraživači su otkrili fajlove koji su izgleda bili pripremljeni za infekciju računara korisnika preko ranjivosti u Java-i i IE.

Stranica hxxp://[c2_hostname]/groups/business-principles.html se koristi kao polazna tačka za napad. Ona se sastoji od dva frejma (HTML frame) - jednog za učitavanje lažne web stranice sa legitimnog web sajta i drugog za izvođenje malicioznih aktivnosti (hxxp://[c2_hostname]/groups/sidebar.html).

Druga web stranica, „sidebar.html“ sadrži uglavnom JavaScript kod, i funkcioniše kao jednostavan exploit paket. Njegov kod identifikuje žrtvin browser i potom dostavlja jedan od dva exploit-a.

Sa exploit stranice dostavlja se ili exploit za Java CVE-2013-0422 ranjivost ili CVE-2012-4792 ranjivost u IE 8. Oba exploit-a su veoma slična onima koji su objavljeni u Metasploit alatu, i oba isporučuju MiniDuke-ov glavni backdoor modul koji dobija instrukcije sa istog Twitter naloga.

„Iako su eploit-i već bili poznati i objavljeni u vreme napada, oni su ipak noviji i mogli su funkcionisati protiv naznačenih meta“, kaže Igor Šumenkov iz Kaspersky Lab-a. „Kao što je ranije preporučeno, ažuriranje Windows-a, Java-e i Adobe Reader-a na najnovije verzije trebalo bi da osigura osnovni nivo zaštite od napada MiniDuke-. Naravno, moguće je da postoje i drugi nepoznati vektori infekcije“, rekao je Šumenkov, dodajući da će Kaspersky Lab nastaviti da prati situaciju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima

Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima

Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje

Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke

Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke

Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje

Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika

Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika

Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje

Google oglasi za Facebook vode do sajtova prevaranata

Google oglasi za Facebook vode do sajtova prevaranata

Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje

Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime

Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime

Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje