최신 자바 제로 데이 악용은 Bit9 해커 공격과 관련되어 있습니다.

이전에 알려지지 않은 Java 취약점을 악용 한 지난 주 발견 된 공격은 이전에 보안을 목표로 한 공격자 지난 주 새로운 자바 공격을 발견 한 파이어 아이 (FireEye)의 보안 연구원은 자바의 악용으로 맥락 (McRAT)이라고 불리는 원격 악성 코드가 설치된다고 말했다.

시만텍 제품이 Trojan.Naid로 탐지 한 위협은 110.173.55.187 IP (인터넷 프로토콜) 주소 인 Symantec r을 사용하여 명령 및 제어 (C & C) 서버에 다시 연결됩니다.

[추가 정보: Windows PC에서 악성 코드를 제거하는 방법]

"흥미롭게도 Trojan.Naid 샘플은 Bit9 보안 사고 업데이트에서 논의 된 손상된 Bit9 인증서에 의해 서명되었습니다. 다른 정당에 대한 공격에 사용된다 "고 말했다. "이 샘플은 또한 백 채널 통신 서버 IP 주소 110.173.55.187을 사용했습니다."

인증서 도난

지난 달, 화이트리스트 기술을 사용하여 보안 제품을 판매하는 회사 인 Bit9는 해커들이 서버 중 하나에 침입하여 이 회사의 디지털 인증서 중 하나는 악성 코드에 서명하는 것입니다. 이 악성 코드는 몇 개의 미국 조직에 대한 공격에 사용되었다고한다.

"3 개 타겟 조직에 대한 후속 공격에서 공격자는 이미 특정 웹 사이트 (침입 구멍 스타일 공격 "Bit9의 CTO 해리 스 베르들 로브 (Harry Sverdlove)는 지난 월요일 블로그 포스트에서"페이스 북, 애플, 마이크로 소프트가 최근 보도했다. "공격자가 손상된 인증서로 서명 한 파일을 포함하여 추가 악의적 인 파일을 제공하기 위해 Java의 취약점을 사용하는 사이트에 악성 Java 애플릿을 삽입했다고 생각합니다."

IP 주소 "110.173"에 다시 연결되는 악성 파일 중 하나입니다. 55.187 "포트 80을 통해, 비트 9 CTO는 말했다. 시만텍의 연구원은 "IP는 홍콩의 한 주소에 등록되어있다."

"이 트로이 목마는 극도로 견고하며 여러 공격에 정교함을 보였다. "그들의 주요 동기는 다양한 산업 분야에 대한 산업 간첩이었습니다."

제로 데이 결함 찾기

그들이 개시하는 공격에는 보통 제로 데이 취약점이 포함됩니다. 시만텍 연구원에 따르면 2012 년에 Internet Explorer의 제로 데이 취약점을 악용 한 의도 한 대상이 자주 방문하는 웹 사이트에 침입 구멍 공격 (infing hole attack)이 발생했습니다.

오라클은 아직 패치 계획을 밝히지 않았습니다 이 최신 Java 취약점. 다음 자바 보안 업데이트는 4 월에 예정되었지만, 회사는 그 전에 비상 업데이트를 발표하기로 결정할 수 있습니다.

보안 연구원은 웹 기반 Java 컨텐츠에 액세스 할 필요가없는 사용자에게 Java 플러그인을 제거하도록 권고했습니다 그들의 브라우저에서. Java-Java 7 Update 15의 최신 버전은 제어판을 통해 Java 플러그인을 비활성화하거나 Java 애플릿을 브라우저에서 실행하기 전에 확인 메시지를 표시하는 옵션을 제공합니다.