ビデオ: The ABC Song (九月 2024)
Javaの最近のゼロデイエクスプロイトでは、 SecurityWatch パレードで「Javaを今すぐ更新」ドラムを破り、「Javaを完全に無効化」という格闘をしています。 それだけでは十分でない場合、Red Octoberサイバー攻撃キャンペーンがJavaのエクスプロイトを利用したという最近のニュースは、一歩踏み込んだもう1つの理由にすぎません。
Java攻撃ベクトルはSeculertによって発見され、火曜日に同社のブログで発表されました。 多くの攻撃者はJavaのエクスプロイトを利用しますが、Red Octoberについて以前に知られていたものとは異なります。 Kaspersky Labsのキャンペーンに関する最初のレポートでは、Red Octoberは感染ファイルを使用した高度に標的化されたスピアフィッシングメール攻撃に依存していることを特徴としていました。
「ベクトルでは、攻撃者は特別に細工されたPHP Webページへのリンクが埋め込まれた電子メールを送信しました」とSeculert氏は述べています。 「このWebページはJavaの脆弱性(CVE-2011-3544)を悪用し、バックグラウンドでマルウェアを自動的にダウンロードして実行しました。」
新たなエクスプロイトではない
Red Octoberで使用されているJava攻撃は、これまで取り上げてきたゼロデイ攻撃ではありません。 実際、Seculertは、Red October攻撃のこの部分は2012年2月頃に書かれたものであり、使用するエクスプロイト は 2011年10月にパッチされたと書い ています。
Red OctoberのJavaの側面に関するニュースが公開された後、Kasperskyは詳細情報を含むフォローアップを投稿しました。 「このベクターはグループによってあまり使用されていなかったようです」とカスペルスキーは書いています。 「 '.jar'マルコードアーカイブを提供するphpをダウンロードしたとき、javaエクスプロイトを配信するコード行はコメントアウトされました。」
カスペルスキーは、攻撃のこの側面を特徴づけようとして、これがRed Octoberによる別のアプローチを示しているとは考えていません。 代わりに、彼らはそれがRed Octoberのトレードマークである綿密でよく研究された攻撃と一致していると信じています。
その意味
「グループがマルウェアペイロードを適切なターゲットに数日間正常に配信し、それ以上の努力を必要としなかったと推測することができました」とカスペルスキーは昨日書いた。 「また、このグループは、被害者の環境に細心の注意を払って浸透および収集ツールセットを適応および開発したため、2012年2月上旬に通常のスピアフィッシング技術からJavaに移行する必要があったこともわかります。」
カスペルスキーは、この攻撃のいくつかの技術的側面が他のレッドオクトーバー攻撃とは異なることを書き続けたため、セキュリティ会社はこのエクスプロイトが特定のターゲット向けに開発されたと考えています。
Red OctoberのJavaの側面は、被害者の広範な調査を標的にするために使用されていなかったことを聞いて安心です。 このサイバー攻撃キャンペーンの効果は恐ろしいものですが、その作成者は、日常のユーザーではなく、注目度の高い政府および外交目標に焦点を合わせました。 ただし、多くのソフトウェアのエクスプロイトが攻撃者によく知られていることも示しています。
Maxの詳細については、Twitter @wmaxeddyで彼をフォローしてください。
