ตุลาคมแดงใช้ประโยชน์จากจาวา: การปรับปรุงหรือปิดการใช้งานจาวาตอนนี้

ด้วยการใช้ประโยชน์จากศูนย์ในวันล่าสุดสำหรับ Java เรากำลังตีกลอง "อัปเดต Java ตอนนี้" และเล่น "ปิดการใช้งาน Java โดยสิ้นเชิง" ขลุ่ยในขบวนพาเหรด SecurityWatch หากยังไม่พอข่าวล่าสุดว่าแคมเปญโจมตีทางไซเบอร์ Red October ใช้ประโยชน์จาก Java exploit เป็นอีกเหตุผลหนึ่งที่ทำให้พวกเขาตกอยู่ในอันตราย

Seculert ค้นพบเวกเตอร์โจมตี Java และประกาศเมื่อวันอังคารที่บล็อกของ บริษัท ในขณะที่ผู้โจมตีจำนวนมากใช้ประโยชน์จากจาวา แต่ก็แตกต่างจากสิ่งที่รู้จักกันก่อนหน้านี้เกี่ยวกับเรดตุลาคม ในรายงานเบื้องต้นเกี่ยวกับแคมเปญจาก Kaspersky Labs นั้น Red October มีลักษณะโดยอาศัยการโจมตีทางอีเมลแบบสเปียร์ฟิชชิ่งที่มีการกำหนดเป้าหมายสูงพร้อมไฟล์ที่ติดไวรัส

"ในเวกเตอร์ผู้โจมตีส่งอีเมลพร้อมลิงค์แบบฝังตัวไปยังเว็บเพจ PHP ที่ออกแบบมาเป็นพิเศษ" Seculert เขียน "เว็บเพจนี้ใช้ช่องโหว่ใน Java (CVE-2011-3544) และในพื้นหลังจะดาวน์โหลดและดำเนินการมัลแวร์โดยอัตโนมัติ"

ไม่ใช่การหาประโยชน์ใหม่

สิ่งสำคัญที่ควรทราบคือการโจมตีจาวาที่ใช้โดย Red October ไม่ใช่การใช้ประโยชน์แบบ zero-day ที่เราครอบคลุม ในความเป็นจริง Seculert เขียนว่าส่วนของการโจมตี Red ตุลาคมนี้ถูกเขียนขึ้นประมาณเดือนกุมภาพันธ์ 2012 ในขณะที่การใช้ประโยชน์ที่ได้รับนั้นได้รับการแก้ไขในเดือนตุลาคม 2011 นี่คือเหตุผลที่คุณควรปรับปรุงซอฟต์แวร์ของคุณให้ทันสมัยอยู่เสมอ

หลังจากที่มีการเผยแพร่ข่าว Java ของ Red ตุลาคม Kaspersky โพสต์ติดตามด้วยข้อมูลเพิ่มเติม “ ดูเหมือนว่าเวกเตอร์นี้ไม่ได้ถูกใช้อย่างหนักโดยกลุ่ม” Kaspersky เขียน "เมื่อเราดาวน์โหลด php ที่รับผิดชอบการให้บริการไฟล์เก็บถาวร malcode '.jar' บรรทัดของโค้ดที่แสดงถึงการจู่โจมของ java ถูกใส่เครื่องหมายเอาไว้"

การพยายามอธิบายลักษณะของการโจมตีนี้ Kaspersky ไม่เชื่อว่าสิ่งนี้จะบ่งบอกถึงวิธีการที่แตกต่างกันภายใน Red October แต่พวกเขาเชื่อว่าเป็นไปตามการโจมตีที่มีระเบียบและวิจัยอย่างดีซึ่งเป็นเครื่องหมายการค้าของเรดตุลาคม

มันหมายถึงอะไร

"เราสามารถคาดเดาได้ว่ากลุ่มส่งมอบปริมาณมัลแวร์ของตนไปยังเป้าหมายที่เหมาะสมเป็นเวลาสองสามวันจากนั้นไม่ต้องการความพยายามอีกต่อไป" Kaspersky เขียนเมื่อวานนี้ "ซึ่งอาจบอกเราได้ว่ากลุ่มนี้ซึ่งดัดแปลงและพัฒนาชุดเครื่องมือการรวบรวมและการเก็บรวบรวมของพวกเขาให้เข้ากับสภาพแวดล้อมของเหยื่ออย่างพิถีพิถันจำเป็นต้องเปลี่ยนมาใช้ Java จากเทคนิคสเปียฟิชชิ่งปกติในต้นเดือนกุมภาพันธ์ 2555"

Kaspersky กล่าวต่อไปว่าด้านเทคนิคหลายประการของการโจมตีนี้แตกต่างจากการโจมตี Red ตุลาคมอื่น ๆ ซึ่งทำให้ บริษัท รักษาความปลอดภัยเชื่อว่าการโจมตีนี้ได้รับการพัฒนาสำหรับเป้าหมายที่เฉพาะเจาะจง

เรารู้สึกโล่งใจที่ได้ทราบว่า Java ของ Red October ไม่ได้ถูกนำมาใช้ในการกำหนดเป้าหมายผู้ที่ตกเป็นเหยื่อ ในขณะที่แคมเปญการโจมตีทางไซเบอร์ครั้งนี้มีความน่าสะพรึงกลัวในประสิทธิภาพของมันผู้สร้างมุ่งเน้นไปที่เป้าหมายของรัฐบาลและการทูตที่มีชื่อเสียงและไม่ใช่ผู้ใช้ในชีวิตประจำวัน อย่างไรก็ตามมันยังแสดงให้เห็นว่าการโจมตีด้วยซอฟต์แวร์จำนวนมากเป็นที่รู้จักกันดีจากผู้โจมตีซึ่งจะใช้ประโยชน์จากผู้ใช้ที่ขี้เกียจที่หลบเลี่ยงการอัปเดต

สำหรับข้อมูลเพิ่มเติมจาก Max ติดตามเขาบน Twitter @wmaxeddy