NetTraveler возвращается: киберпреступники используют новые приемы (CVE-2013-2465)

NEtTraveler – это вредоносная программа, о которой мы подробно писали в предыдущем посте; она осуществляет APT-атаки, жертвами которых стали уже сотни известных людей более чем в сорока странах. В числе мишеней NetTraveler (также известной как Travnet и Netfile) тибетские и уйгурские активисты, нефтяные компании, научно-исследовательские институты и научные центры, университеты, частные компании, правительства и правительственные институты, посольства и военные объекты.

За последние несколько дней уйгурским активистам было отправлено несколько электронных писем с целевым фишингом (spearphishing).

Это сообщение можно перевести приблизительно так:

Представитель Всемирного Уйгурского конгресса сделал следующее заявление о массовой бойне в уезде Каргалык. К сведению всех.

Письмо содержит ссылку якобы на веб-сайт Всемирного Уйгурского конгресса. Однако на самом деле ссылка ведёт на известный в связи с NetTraveler домен «weststock[dot]org«.

Вот содержание страницы, извлеченное с этого URL-адреса:

Этот простой HTML-код загружает Java-приложение под названием new.jar (c263b4a505d8dd11ef9d392372767633) и запускает его. new.jar – это эксплойт к CVE-2013-2465, довольно свежей уязвимости в Java версии 5, 6 и 7, закрытой Oracle в июле 2013 г. Вредоносное приложение распознаётся продуктами «Лаборатории Касперского» эвристически как «HEUR:Exploit.Java.CVE-2013-2465.gen«.

Основная вредоносная нагрузка эксплойта содержится в файле с названием file.tmp (15e8a1c4d5021e76f933cb1bc895b9c2), который хранится в виде Java-архива. Это классический бэкдор-дроппер NetTraveler (продукты «Лаборатории Касперского» детектируют его как Trojan-Dropper.Win32.Dorifel.adyb), скомпилированный в четверг, 30 мая 2013 г., в 03:24:13, если верить метке времени в PE-заголовке файла.

Эта модификация NetTraveler связывается с ранее неизвестным командным сервером hxxp://worldmaprsh[dot]com/gzh/nettr/filetransfer[dot]asp с IP-адресом 198.211.18.93. IP-адрес находится в США, зарегистрирован на компанию Multacom Corporation и используется исключительно для хостинга данного сервера:

На момент написания этого блога командный сервер работает и принимает данные, украденные с зараженных компьютеров.

NetTraveler и атака Watering Hole

Наряду с целевыми фишинговыми рассылками злоумышленники нередко проводят APT-атаки против ничего не подозревающих жертв с помощью метода, известного как Watering Hole.

Пожалуй, нет ничего удивительного в том, что в атаках NetTraveler этот прием теперь тоже применяется. В прошлом месяце мы перехватили и заблокировали несколько попыток заражения с домена weststock[точка]org, который, как известно, связан с NetTraveler. Пользователи перенаправлялись на него с еще одного уйгурского сайта, принадлежащего «Исламской ассоциации Восточного Туркистана» (Islamic Association of Eastern Turkistan):

В HTML-коде сайта легко найти внедренный плавающий фрейм (iframe), характерный для вредоносных сайтов:

На HTML-странице на weststock[точка]org, на которую ведет ссылка в плавающем фрейме, был размещен еще один вредоносный апплет с именем ie.jar.

Заключение

Как только появились публикации о действиях NetTraveler (см. наш отчёт от 4 июня 2013 г.), киберпреступники отключили все известные командные серверы и переместили их на новые адреса в Китае, Гонконге и на Тайване. Вредоносные атаки продолжаются, что мы и проиллюстрировали выше.

Использование Java-эксплойта к уязвимости CVE-2013-2465 – это нечто новое для группы киберпреступников, стоящих за NetTraveler. Эксплуатация этой уязвимости очевидно успешнее, чем эксплуатация уязвимости CVE-2012-0158, самой популярной до последнего времени. Мы полагаем, что в будущем эта группа будет использовать новые свежие эксплойты для поведения атак.

Как же защитить себя от таких атак?

• обновите Java до новейшей версии либо деинсталлируйте Java, если не используете
• обновите Microsoft Windows и Office до новейших версий
• обновите все прочее ПО, например Adobe Reader
• используйте безопасный браузер (такой, как Google Chrome), для которого патчи и обновления выходят быстрее, чем для Internet Explorer, который используется в Windows по умолчанию
• с осторожностью относитесь к ссылкам и вложениям в письмах от незнакомых людей.

За группой NetTraveler пока не было замечено использование 0-day уязвимостей. Для защиты от 0-day атак – поскольку патчи тут не работают — могут быть вполне эффективными технологии AEP (Automatic Exploit Prevention ), а для защиты от APT-атак – режим Default Deny.