MiniDuke ne dolazi samo putem emaila - malver koristi i ranjivosti u Java-i i IE 8

Vesti, 12.03.2013, 07:40 AM

Istraživači koji su otkrili kampanju ciljanih sajber napada na institucije vlasti i organizacije u 23 države sveta, od kojih su većina evropske države, sada su otkrili i dva nova vektora napada.

Kampanju koju je predvodio malver MiniDuke otkrili su istraživači kompanija Kaspersky Lab i CrySys krejem prošlog meseca. Ono što se tada znalo je da je reč o 0-day napadima na ranjivost u Adobe Reader 9, 10 i 11 (CVE-2013-0640), u kojima se zaobilazila sandbox zaštita. Napadi su realizovani pomoću spear-phishing emailova u kojima su se nalazili PDF fajlovi vrlo uverljivog izgleda, koji su obećavali informacije o seminaru o ljudskim pravima, ukrajinskoj spoljnoj politici i planovima država članica NATO.

Sada su istraživači Kaspersky Lab-a i CrySys-a otkrili da su u kampanji korišćena još dva vektora napada. Novootrkiveni vektori infekcije oslanjaju se na ranjivosti u Java i Internet Explorer-u.

Analizirajući jedan od servera za komandu i kontrolu malvera MiniDuke, istraživači su otkrili fajlove koji su izgleda bili pripremljeni za infekciju računara korisnika preko ranjivosti u Java-i i IE.

Stranica hxxp://[c2_hostname]/groups/business-principles.html se koristi kao polazna tačka za napad. Ona se sastoji od dva frejma (HTML frame) - jednog za učitavanje lažne web stranice sa legitimnog web sajta i drugog za izvođenje malicioznih aktivnosti (hxxp://[c2_hostname]/groups/sidebar.html).

Druga web stranica, „sidebar.html“ sadrži uglavnom JavaScript kod, i funkcioniše kao jednostavan exploit paket. Njegov kod identifikuje žrtvin browser i potom dostavlja jedan od dva exploit-a.

Sa exploit stranice dostavlja se ili exploit za Java CVE-2013-0422 ranjivost ili CVE-2012-4792 ranjivost u IE 8. Oba exploit-a su veoma slična onima koji su objavljeni u Metasploit alatu, i oba isporučuju MiniDuke-ov glavni backdoor modul koji dobija instrukcije sa istog Twitter naloga.

„Iako su eploit-i već bili poznati i objavljeni u vreme napada, oni su ipak noviji i mogli su funkcionisati protiv naznačenih meta“, kaže Igor Šumenkov iz Kaspersky Lab-a. „Kao što je ranije preporučeno, ažuriranje Windows-a, Java-e i Adobe Reader-a na najnovije verzije trebalo bi da osigura osnovni nivo zaštite od napada MiniDuke-. Naravno, moguće je da postoje i drugi nepoznati vektori infekcije“, rekao je Šumenkov, dodajući da će Kaspersky Lab nastaviti da prati situaciju.