Car-tech

IE'nin istismarcıları, PlugX'in zararlı yazılımlarını dağıttığını söylüyor, araştırmacılar

Repurposed Malware: A Dark Side of Recycling

Repurposed Malware: A Dark Side of Recycling
Anonim

Güvenlik sağlayıcısı AlienVault'dan araştırmacılar, yeni keşfedilen Internet Explorer istismarının bir varyantını, hedeflenen bilgisayarları PlugX uzaktan erişim Truva (RAT) programı ile enfekte etmek için kullanmışlardır.

Yeni keşfedilen istismar varyantı IE 6, 7, 8 ve 9'da aynı istisnai güvenlik açığını hedefliyor, ancak biraz farklı kod kullanıyor ve farklı bir yüke sahip. AlienVault Labs yöneticisi Jaime Blasco, bir blog gönderisinde Salı dedi.

İlk istismar, güvenlik araştırmacısı Eric Romang tarafından bilinen bir kötü amaçlı sunucuda hafta sonu boyunca bulundu ve Poison Ivy RAT'ı dağıttı. AlienVault araştırmacıları tarafından keşfedilen ikinci istismar sürümü farklı bir sunucuda bulundu ve PlugX adında çok daha yeni bir RAT programı yükledi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bununla birlikte, dosya düzenleme tarihleri Her iki sunucu da, istismarın her iki sürümünün en az 14 Eylül'den beri kullanımda olduğunu öne sürüyor.

"PlugX'in kötü amaçlı yazılımını aktif olarak kullanan grubun, Flowershow'un Internet Explorer ZeroDay'e erişmesini de sağladığını biliyoruz. [Gönderilmemiş bir güvenlik açığını hedefleme] ortaya çıkmadan günler önce, "dedi Blasco. "Yeni keşfedilen istismar kodunun ve birkaç gün önce keşfedilen benzerlikten dolayı, aynı grubun her iki durumda da olması muhtemeldir."

AlienVault araştırmacıları, bu yılın başından beri PlugX RAT kullanan saldırıları izliyorlar.. Kötü amaçlı yazılımın içinde bulunan dosya hata ayıklama yollarına dayanarak, nispeten yeni RAT'ın, iyi bilinen bir Çinli hacker grubu olan Network Crack Program Hacker (NCPH) ile daha önceki bağları olan WHG olarak bilinen Çinli bir hacker tarafından geliştirildiğine inanıyorlar.

AlienVault araştırmacıları, geçmişte yeni IE istismarına hizmet eden iki ek web sitesini de belirlediler, ancak bunlardan herhangi bir yük alınamadı, dedi Blasco. Biri Hindistan'dan bir savunma haber sitesiydi ve diğeri muhtemelen 2. Uluslararası LED profesyonel Sempozyum web sitesinin sahte bir versiyonuydu. (Ayrıca bkz. "Kötü amaçlı web uygulamaları: Nasıl tespit edilir, nasıl yenilir.")

"Bu günün arkasındaki adamlar belirli endüstrileri hedefliyor gibi görünüyorlar," diyerek sözlerine devam etti.

Orijinal IE'nin kullandığı sunucu. Ayrıca, geçen ay gönderilmeyen bir Java güvenlik açığı için bir istismar bulundu. Bu Java sömürüsü, güvenlik araştırmacıları tarafından "Nitro" adında bir Çinli hacker grubuna atfedilen saldırılarda kullanıldı.

Microsoft, bir yama üzerinde çalışırken yeni IE güvenlik açığı ve önerilen geçici azaltma çözümleri hakkında bir güvenlik danışmanı yayınladı.