Ποιοι είναι οι νέοι στόχοι του NetTraveler
03.09.2013
19:03
Οι γνωστοί στόχοι του NetTraveler περιλαμβάνουν τους Θιβετιανούς-Ουιγούρους ακτιβιστές, πετρελαϊκές εταιρείες, κέντρα και ινστιτούτα επιστημονικής έρευνας, πανεπιστήμια, ιδιωτικές εταιρείες
Οι ερευνητές της Kaspersky Lab παρουσιάσαν έναν νέο φορέα επίθεσης του NetTraveler (επίσης γνωστός ως “Travnet”, “Netfile” ή Red Star APT), μιας εξελιγμένης μόνιμης απειλής που έχει ήδη προσβάλει εκατοντάδες θύματα “υψηλού κύρους” σε περισσότερες από 40 χώρες.
Οι γνωστοί στόχοι του NetTraveler περιλαμβάνουν τους Θιβετιανούς-Ουιγούρους ακτιβιστές, πετρελαϊκές εταιρείες, κέντρα και ινστιτούτα επιστημονικής έρευνας, πανεπιστήμια, ιδιωτικές εταιρείες, κυβερνήσεις και κυβερνητικούς φορείς, πρεσβείες και στρατιωτικούς οργανισμούς.
Αμέσως μετά την αποκάλυψη των επιχειρήσεων του NetTraveler τον Ιούνιο του 2013, οι δράστες έκλεισαν όλα τα γνωστά συστήματα command and control και τα μετέφεραν σε νέους servers στην Κίνα, το Χονγκ-Κονγκ και την Ταϊβάν. Επιπλέον, συνέχισαν απρόσκοπτα τις επιθέσεις όπως αποκαλύπτει η σημερινή κατάσταση.
Τις τελευταίες μέρες, αρκετά spear-phishing e-mails στάλθηκαν σε πολλούς Ουιγούρους ακτιβιστές. Το exploit της Java που χρησιμοποιήθηκε για την αποστολή αυτής της νέας παραλλαγής του Red Star APT επιδιορθώθηκε πρόσφατα – τον Ιούνιο του 2013 – και έχει υψηλότερα ποσοστά επιτυχίας.
Οι προηγούμενες επιθέσεις χρησιμοποιούσαν τα exploits του Office (CVE-2012-0158) που επιδιορθώθηκαν από τη Microsoft τον περασμένο Απρίλιο.
Εκτός από τη χρήση των spear-phishing e-mails, οι διαχειριστές του APT έχουν υιοθετήσει την τεχνική της watering hole (διαδικτυακές ανακατευθύνσεις και drive-by downloads σε domains που έχουν προσβληθεί) για να προσβάλουν τα θύματα που σερφάρουν στο διαδίκτυο.
Τον περασμένο μήνα, η Kaspersky Lab εμπόδισε πολλές προσπάθειες «μόλυνσης» από το domain «wetstock[dot]org», μια γνωστή ιστοσελίδα που συνδέεται με προηγούμενες επιθέσεις του NetTraveler. Αυτές οι ανακατευθύνσεις φαίνεται να προέρχονται από άλλες ιστοσελίδες που συνδέονται με τους Ουιγούρους, οι οποίες παραβιάστηκαν και προσβλήθηκαν από τους δράστες του NetTraveler.
Οι γνωστοί στόχοι του NetTraveler περιλαμβάνουν τους Θιβετιανούς-Ουιγούρους ακτιβιστές, πετρελαϊκές εταιρείες, κέντρα και ινστιτούτα επιστημονικής έρευνας, πανεπιστήμια, ιδιωτικές εταιρείες, κυβερνήσεις και κυβερνητικούς φορείς, πρεσβείες και στρατιωτικούς οργανισμούς.
Αμέσως μετά την αποκάλυψη των επιχειρήσεων του NetTraveler τον Ιούνιο του 2013, οι δράστες έκλεισαν όλα τα γνωστά συστήματα command and control και τα μετέφεραν σε νέους servers στην Κίνα, το Χονγκ-Κονγκ και την Ταϊβάν. Επιπλέον, συνέχισαν απρόσκοπτα τις επιθέσεις όπως αποκαλύπτει η σημερινή κατάσταση.
Τις τελευταίες μέρες, αρκετά spear-phishing e-mails στάλθηκαν σε πολλούς Ουιγούρους ακτιβιστές. Το exploit της Java που χρησιμοποιήθηκε για την αποστολή αυτής της νέας παραλλαγής του Red Star APT επιδιορθώθηκε πρόσφατα – τον Ιούνιο του 2013 – και έχει υψηλότερα ποσοστά επιτυχίας.
Οι προηγούμενες επιθέσεις χρησιμοποιούσαν τα exploits του Office (CVE-2012-0158) που επιδιορθώθηκαν από τη Microsoft τον περασμένο Απρίλιο.
Εκτός από τη χρήση των spear-phishing e-mails, οι διαχειριστές του APT έχουν υιοθετήσει την τεχνική της watering hole (διαδικτυακές ανακατευθύνσεις και drive-by downloads σε domains που έχουν προσβληθεί) για να προσβάλουν τα θύματα που σερφάρουν στο διαδίκτυο.
Τον περασμένο μήνα, η Kaspersky Lab εμπόδισε πολλές προσπάθειες «μόλυνσης» από το domain «wetstock[dot]org», μια γνωστή ιστοσελίδα που συνδέεται με προηγούμενες επιθέσεις του NetTraveler. Αυτές οι ανακατευθύνσεις φαίνεται να προέρχονται από άλλες ιστοσελίδες που συνδέονται με τους Ουιγούρους, οι οποίες παραβιάστηκαν και προσβλήθηκαν από τους δράστες του NetTraveler.
Οι ειδικοί της ομάδας έρευνας και ανάλυσης της Kaspersky Lab προβλέπουν ότι νέα exploits μπορούν να ενσωματωθούν και να χρησιμοποιηθούν ενάντια στους στόχους της ομάδας. Γι αυτό, προτείνουν τρόπους με τους οποίους μπορούμε να προστατευτούμε από παρόμοιες επιθέσεις:
● Αναβαθμίσετε τη Java στην πιο πρόσφατη έκδοση ή – αν δεν χρησιμοποιείτε τη Java – να την απεγκαταστήσετε.
● Αναβαθμίσετε τα Microsoft Windows και το Office στις πιο πρόσφατες εκδόσεις.
● Αναβαθμίσετε όλα τα λογισμικά που προέρχονται από τρίτους, όπως το Adobe Reader.
● Χρησιμοποιείτε έναν ασφαλή browser όπως ο Google Chrome, ο οποίος έχει ταχύτερη ανάπτυξη και patching cycle από τον Internet Explorer, που είναι ο προεπιλεγμένος browser των Windows.
● Να είστε επιφυλακτικοί όταν επιλέγετε links και ανοίγετε συνημμένα αρχεία που προέρχονται από αγνώστους.
● Αναβαθμίσετε τη Java στην πιο πρόσφατη έκδοση ή – αν δεν χρησιμοποιείτε τη Java – να την απεγκαταστήσετε.
● Αναβαθμίσετε τα Microsoft Windows και το Office στις πιο πρόσφατες εκδόσεις.
● Αναβαθμίσετε όλα τα λογισμικά που προέρχονται από τρίτους, όπως το Adobe Reader.
● Χρησιμοποιείτε έναν ασφαλή browser όπως ο Google Chrome, ο οποίος έχει ταχύτερη ανάπτυξη και patching cycle από τον Internet Explorer, που είναι ο προεπιλεγμένος browser των Windows.
● Να είστε επιφυλακτικοί όταν επιλέγετε links και ανοίγετε συνημμένα αρχεία που προέρχονται από αγνώστους.
Ακολουθήστε το protothema.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Protothema.gr
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Protothema.gr