10 월에 Java 익스플로잇을 사용함

최근 Java에 대한 제로 데이 익스플로잇으로, "지금 Java 업데이트"드럼을 치고 SecurityWatch 퍼레이드에서 "Java 비활성화"파일을 재생합니다. 이것으로 충분하지 않다면, Red October 사이버 공격 캠페인이 Java 익스플로잇을 이용했다는 최근의 뉴스는 또 다른 이유입니다.

자바 공격 벡터는 Seculert에 의해 발견되었고 화요일 회사 블로그에 발표됐다. 많은 공격자가 Java 익스플로잇을 사용하지만 이전에는 Red October에 대해 알려진 것과 다릅니다. Kaspersky Labs의 캠페인에 대한 초기 보고서에서 Red October은 감염된 파일에 대한 대상이 지정된 스피어 피싱 이메일 공격에 의존하는 것이 특징이었습니다.

Seculert는 "공격자들은 특수하게 조작 된 PHP 웹 페이지에 대한 링크가 포함 된 이메일을 벡터로 보냈습니다"라고 말합니다. "이 웹 페이지는 Java (CVE-2011-3544)의 취약점을 악용했으며 배경에서 악성 코드를 자동으로 다운로드하여 실행했습니다."

새로운 착취가 아님

Red October가 사용한 Java 공격은 우리가 다루고있는 제로 데이 익스플로잇이 아니라는 점에 유의해야합니다. 실제로 Seculert는 Red October 공격의이 부분이 2012 년 2 월경에 작성되었으며이 공격은 2011 년 10 월에 패치되었다고 기록합니다. 따라서 소프트웨어를 최신 상태로 유지해야합니다.

레드 10 월의 자바 측면에 대한 뉴스가 발표 된 후 카스퍼 스키는 추가 정보로 후속 조치를 게시했습니다. 카스퍼 스키는“이 벡터는이 그룹에서 많이 사용되지 않은 것 같습니다. "우리가 '.jar'악성 코드 아카이브를 제공하는 PHP를 다운로드했을 때, 자바 익스플로잇을 제공하는 코드 라인은 주석 처리되었다."

카스퍼 스키는 공격의 이러한 측면을 특징 짓기 위해 이것이 10 월의 다른 접근 방식을 나타내는 것은 아니라고 생각합니다. 대신, 그들은 레드 10 월의 상표 인 체계적이고 연구가 잘된 공격과 일치한다고 생각합니다.

의미하는 것

카스퍼 스키는 어제“그룹이 며칠 동안 자신의 맬웨어 페이로드를 적절한 대상에 성공적으로 전달한 후 더 이상 노력이 필요하지 않았다고 추측 할 수있다. "또한 침입 및 수집 툴셋을 피해자의 환경에 맞게 세 심하게 조정하고 개발 한이 그룹은 2012 년 2 월 초에 일반적인 스피어 피싱 기술에서 Java로 전환해야 할 필요가있었습니다."

카스퍼 스키는이 공격의 몇 가지 기술적 측면이 다른 10 월 공격과는 다르다는 점을 작성하여 보안 회사는이 악용이 특정 대상을 위해 개발되었다고 생각합니다.

Red October의 Java 측면이 더 넓은 희생자들을 목표로 사용되지 않았다는 소식을 듣고 안심입니다. 이 사이버 공격 캠페인의 효과는 끔찍하지만 제작자는 일상적인 사용자가 아닌 유명한 정부 및 외교 목표에 중점을 두었습니다. 그러나 많은 소프트웨어 익스플로잇이 공격자에게 잘 알려져 있으며 업데이트를 회피하는 게으른 사용자를 이용합니다.

Max에서 더 많은 정보를 얻으려면 Twitter @wmaxeddy에서 팔로우하십시오.