《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

 資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。

 

事實上,在他們拿到這Java漏洞之前,Nitro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標(附註一點,我們在2012年四月也看到另一波的電子郵件)。

itro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標
itro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標

 

資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。

 

檔案Flashfxp.exe被放在和Java零時差漏洞和Poison Ivy惡意檔案相同的伺服器上,它會連到OK.{BLOCKED}n.pk,名稱解析後是同一個IP地址
檔案Flashfxp.exe被放在和Java零時差漏洞和Poison Ivy惡意檔案相同的伺服器上,它會連到OK.{BLOCKED}n.pk,名稱解析後是同一個IP地址

事實上,在他們拿到這Java漏洞之前,Nitro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標(附註一點,我們在2012年四月也看到另一波的電子郵件)。

 檔案Flashfxp.exe被放在和Java零時差漏洞和Poison Ivy惡意檔案相同的伺服器上,它會連到OK.{BLOCKED}n.pk,名稱解析後是同一個IP地址 – {BLOCKED}.{BLOCKED}.233.244。這也跟hello.{BLOCKED}n.pk是同一個IP地址,它是被用作Java零時差漏洞攻擊所帶來的Poison Ivy惡意檔案的命令和控制伺服器網域。

 

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊 

儘管至少有兩個臨時伺服器來放置Java零時差漏洞攻擊所用的惡意檔案(至少有三個臨時伺服器用來放置可執行檔),但所有Poison Ivy惡意檔案所連的網址都指向同一個IP地址。許多和Nitro攻擊活動相關的Poison Ivy控制網域也都連到相同的IP地址。雖然一開始有人懷疑這次的Java漏洞攻擊是否被用在目標攻擊,但看起來有越來越多的證據顯示它是被用在「Nitro」攻擊活動。

 

趨勢科技產品可以偵測並移除這漏洞攻擊碼和Poison Ivy的惡意檔案。Deep Security還可以偵測並封鎖Poison Ivy惡意檔案所產生的連線。

 

更新:

 

Oracle已經釋出Java更新程式來修補這個零時差漏洞。這個更新會將使用者的JRE版本升級為Version 7 Update 7。如果是Java 6的使用者則會被更新至Version 6 Update 35。使用者應該要立即更新系統來防範這威脅攻擊。

操作說明,可參考以下文章的附件:

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

 

 

@原文出處:The “Nitro” Campaign and Java Zero-Day作者:Nart Villeneuve(趨勢科技資深威脅研究員)

 

延伸閱讀

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

 《Java 零時差漏洞攻擊》 關閉Java而非JavaScript(含停用 Java 指南)

Apple:這是Java的原罪


APT 攻擊

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

@參考推文

雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>推文

◎ 歡迎加入趨勢科技社群網站