Repurposed Malware: A Dark Side of Recycling
Güvenlik sağlayıcısı AlienVault'dan araştırmacılar, yeni keşfedilen Internet Explorer istismarının bir varyantını, hedeflenen bilgisayarları PlugX uzaktan erişim Truva (RAT) programı ile enfekte etmek için kullanmışlardır.
Yeni keşfedilen istismar varyantı IE 6, 7, 8 ve 9'da aynı istisnai güvenlik açığını hedefliyor, ancak biraz farklı kod kullanıyor ve farklı bir yüke sahip. AlienVault Labs yöneticisi Jaime Blasco, bir blog gönderisinde Salı dedi.
İlk istismar, güvenlik araştırmacısı Eric Romang tarafından bilinen bir kötü amaçlı sunucuda hafta sonu boyunca bulundu ve Poison Ivy RAT'ı dağıttı. AlienVault araştırmacıları tarafından keşfedilen ikinci istismar sürümü farklı bir sunucuda bulundu ve PlugX adında çok daha yeni bir RAT programı yükledi.
Bununla birlikte, dosya düzenleme tarihleri Her iki sunucu da, istismarın her iki sürümünün en az 14 Eylül'den beri kullanımda olduğunu öne sürüyor.
"PlugX'in kötü amaçlı yazılımını aktif olarak kullanan grubun, Flowershow'un Internet Explorer ZeroDay'e erişmesini de sağladığını biliyoruz. [Gönderilmemiş bir güvenlik açığını hedefleme] ortaya çıkmadan günler önce, "dedi Blasco. "Yeni keşfedilen istismar kodunun ve birkaç gün önce keşfedilen benzerlikten dolayı, aynı grubun her iki durumda da olması muhtemeldir."
AlienVault araştırmacıları, bu yılın başından beri PlugX RAT kullanan saldırıları izliyorlar.. Kötü amaçlı yazılımın içinde bulunan dosya hata ayıklama yollarına dayanarak, nispeten yeni RAT'ın, iyi bilinen bir Çinli hacker grubu olan Network Crack Program Hacker (NCPH) ile daha önceki bağları olan WHG olarak bilinen Çinli bir hacker tarafından geliştirildiğine inanıyorlar.
AlienVault araştırmacıları, geçmişte yeni IE istismarına hizmet eden iki ek web sitesini de belirlediler, ancak bunlardan herhangi bir yük alınamadı, dedi Blasco. Biri Hindistan'dan bir savunma haber sitesiydi ve diğeri muhtemelen 2. Uluslararası LED profesyonel Sempozyum web sitesinin sahte bir versiyonuydu. (Ayrıca bkz. "Kötü amaçlı web uygulamaları: Nasıl tespit edilir, nasıl yenilir.")
"Bu günün arkasındaki adamlar belirli endüstrileri hedefliyor gibi görünüyorlar," diyerek sözlerine devam etti.
Orijinal IE'nin kullandığı sunucu. Ayrıca, geçen ay gönderilmeyen bir Java güvenlik açığı için bir istismar bulundu. Bu Java sömürüsü, güvenlik araştırmacıları tarafından "Nitro" adında bir Çinli hacker grubuna atfedilen saldırılarda kullanıldı.
Microsoft, bir yama üzerinde çalışırken yeni IE güvenlik açığı ve önerilen geçici azaltma çözümleri hakkında bir güvenlik danışmanı yayınladı.
Uygulamasına özgü şifrelerin Google'ın iki faktörlü kimlik doğrulamasını zayıflattığını söylüyor. Araştırmacılar,
Araştırmacılar, Google’ın kimlik doğrulama sisteminde bir boşluk olduğunu keşfettiler. Bireysel uygulamalar için kullanılan benzersiz şifreleri kötüye kullanarak şirketin 2 adımlı giriş doğrulamasını atlamak.
Adlı yeni satış noktası kötü amaçlı yazılım buldular. Araştırmacılar, satış noktasını bozan yeni bir kötü amaçlı yazılım parçası (POS) Rusya merkezli bir güvenlik ve bilgisayar adli tıp şirketi olan Group-IB'nin araştırmacılarına göre, ABD bankalarının müşterilerine ait binlerce ödeme kartından ödün vermek için kullanılan sistemler şimdiden çok daha düşük.
Noktaları bozan yeni bir kötü amaçlı yazılım parçası. Rusya'da yerleşik bir güvenlik ve bilgisayar adli tıp şirketi olan Group-IB'nin araştırmacılarına göre, satış (POS) sistemleri ABD bankalarının müşterilerine ait binlerce ödeme kartından ödün vermekteydi.
Araştırmacılar, çevrimiçi hisse senedi alım satım yazılımlarını hedefleyen kötü amaçlı yazılım buluyor
Rus siber suç araştırmaları şirketi Groub-IB'den güvenlik araştırmacıları, çalınmak üzere tasarlanan yeni bir kötü amaçlı yazılım parçası tespit ettiler Online hisse senetleri ve diğer menkul kıymetler için kullanılan özel yazılımlardan giriş bilgileri.