Java terbaru yang mengeksploitasi zero-day terkait dengan serangan hacker Bit9

Serangan yang ditemukan minggu lalu yang mengeksploitasi kerentanan Java yang sebelumnya tidak diketahui kemungkinan diluncurkan oleh penyerang yang sama yang sebelumnya menargetkan keamanan. perusahaan Bit9 dan pelanggannya, menurut peneliti dari vendor antivirus Symantec.

Peneliti keamanan dari FireEye, yang menemukan serangan Java baru minggu lalu, mengatakan bahwa Java mengeksploitasi menginstal malware akses remote yang disebut McRAT.

ancaman, yang Symantec produk mendeteksi sebagai Trojan.Naid, menghubungkan kembali ke server perintah-dan-kontrol (C & C) menggunakan alamat IP (Internet Protocol) 110.173.55.187, Symantec r esearchers mengatakan Jumat di sebuah posting blog.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

"Menariknya, sampel Trojan.Naid juga ditandatangani oleh sertifikat Bit9 yang disusupi yang dibahas dalam pembaruan insiden keamanan Bit9 dan digunakan dalam serangan terhadap pihak lain, "kata mereka. "Sampel ini juga menggunakan alamat IP server komunikasi backchannel 110.173.55.187."

Sertifikat dicuri

Bulan lalu, Bit9, perusahaan yang menjual produk keamanan menggunakan teknologi daftar putih, mengumumkan bahwa peretas masuk ke salah satu servernya dan digunakan salah satu sertifikat digital perusahaan untuk menandatangani malware. Malware itu kemudian digunakan dalam serangan terhadap beberapa organisasi AS, kata perusahaan.

"Dalam serangan berikutnya pada tiga organisasi sasaran, para penyerang tampaknya telah mengkompromikan Situs Web tertentu (serangan gaya lubang berair, mirip dengan apa baru-baru ini dilaporkan oleh Facebook, Apple dan Microsoft), "CTO Bit9 Harry Sverdlove mengatakan dalam posting blog Senin lalu. "Kami yakin para penyerang memasukkan applet Java berbahaya ke situs-situs yang menggunakan kerentanan di Java untuk mengirim file berbahaya tambahan, termasuk file yang ditandatangani oleh sertifikat yang disusupi."

Salah satu file berbahaya yang terhubung kembali ke alamat IP "110.173. 55,187 "di atas port 80, kata CTO Bit9. IP terdaftar ke alamat di Hong Kong.

"Penyerang Trojan.Naid telah sangat gigih dan telah menunjukkan kecanggihan mereka dalam beberapa serangan," kata para peneliti Symantec. "Motivasi utama mereka adalah spionase industri pada berbagai sektor industri."

Cari kekurangan zero-day

Serangan yang mereka luncurkan biasanya melibatkan kerentanan zero-day. Pada tahun 2012 mereka melakukan serangan penyiraman lubang-serangan di mana situs web yang sering dikunjungi oleh target yang dimaksudkan terinfeksi-yang mengeksploitasi kerentanan zero-day di Internet Explorer, kata para peneliti Symantec.

Oracle belum mengungkapkan rencana patching nya untuk kerentanan Java terbaru ini. Pembaruan keamanan Java berikutnya dijadwalkan untuk bulan April, tetapi perusahaan mungkin memutuskan untuk merilis pembaruan darurat sebelum itu.

Peneliti keamanan telah menyarankan pengguna yang tidak memerlukan akses ke konten Java berbasis web untuk menghapus plug-in Java dari browser mereka. Versi terbaru Java-Java 7 Update 15-menyediakan opsi melalui panel kontrolnya untuk menonaktifkan plug-in Java atau untuk memaksa konfirmasi prompt sebelum applet Java diizinkan untuk dijalankan di dalam browser.