Symantec: хакери використовують для атак уразливість нульового дня в Java

Корпорація Symantec опублікувала результати аналізу атак з метою промислового шпигунства, що експлуатують чергову уразливість нульового дня в Java. Для їх здійснення зловмисники використовували скомпрометований сертифікат компанії Bit9.

Фахівці компанії Symantec встановили, що в рамках атаки з використанням уразливості нульового дня в Oracle Java Runtime Environment (CVE-2013-1493) на заражений комп'ютер завантажується шкідлива програма у вигляді DLL-бібліотеки, підписаної скомпрометованим сертифікатом компанії Bit9, яка встановлює зв'язок зі своїм керування сервером за адресою 110.173.55.187. Антивірусні продукти компанії Symantec визначають її як Trojan.Naid.

Автори Trojan.Naid мають високий рівень підготовки і демонструють вражаючу наполегливість у здійсненні атак з метою промислового шпигунства відразу в кількох галузях. В їх арсеналі не одна уразливість - в 2012 році фахівці компанії Symantec повідомили про здійснення творцями Trojan.Naid атаки типу «поливаюча діра» із застосуванням уразливості нульового дня в Microsoft Internet Explorer (CVE-2012-1875).

Як показано на малюнку вище, атака починається з того, що жертва заманюється на веб-сторінку з вбудованим шкідливим JAR-файлом, який ідентифікується Symantec як Trojan.Maljava.B. Використовуючи експлойт до уразливості CVE-2013-1493, він завантажує файл з назвою svchost.jpg, що є насправді виконуваним файлом, визначених Symantec як Trojan.Dropper. Далі цей завантажувач у свою чергу завантажує файл appmgmt.dll, який визначається як Trojan.Naid. Symantec відразу ж випустила оновлення для системи запобігання вторгнень (IPS), завдяки якому шкідливий JAR файл буде визначатися як Web Attack: Malicious Java Download 4.