Rootkit/Bootkit TDL4 Alureon, MyBios, Neurevt Betabot: тот, кто остаётся за кадром. Что такое руткит
Forskare från säkerhetsleverantören AlienVault har identifierat en variant av ett nyligen upptäckt Internet Explorer-utnyttjande som används för att infektera riktade datorer med PlugX Remote Access Trojan (RAT) -programmet.
Den nyupptäckta exploateringsvarianten riktar sig mot samma oöverträffade sårbarhet i IE 6, 7, 8 och 9 som den ursprungliga exploateringen, men använder lite annorlunda kod och har en annan nyttolast, säger AlienVault Labs chef Jaime Blasco på tisdag i ett blogginlägg.
Det första utnyttjandet hittades under helgen på en känd skadlig server av säkerhetsforskare Eric Romang och distribuerade Poison Ivy RAT. Den andra exploateringsversionen som upptäckts av AlienVault-forskare hittades på en annan server och installerar ett mycket nyare RAT-program som heter PlugX.
Filändringsdatum ses på båda servrarna föreslår att båda versionerna av exploit har varit i bruk sedan åtminstone den 14 september.
"Vi vet att den grupp som aktivt använder PlugX-skadlig program, även kallad Flowershow, hade tillgång till Internet Explorer ZeroDay [utnyttja inriktning på en oöverträffad sårbarhet] dagar innan det upptäcktes ", sade Blasco. "På grund av likheterna mellan den nya upptäckta exploateringskoden och den som upptäckts för några dagar sedan är det mycket troligt att samma grupp ligger bakom båda fallen."
AlienVault-forskare har spårat attacker som använder PlugX RAT sedan tidigare i år. Baserat på felsökningsvägar som finns i skadlig programvara, tror de att den relativt nya RAT utvecklades av en kinesisk hackare som kallades WHG, som tidigare hade band med Network Crack Program Hacker (NCPH), en välkänd kinesisk hackergrupp.
AlienVault-forskare har också identifierat ytterligare två webbplatser som tjänat det nya IE-utnyttjandet tidigare, men ingen nyttolast kunde erhållas från dem, sade Blasco. En var en försvarsnyhetssida från Indien och den andra var förmodligen en falsk version av den 2: a Internationella LED-professionella symposiumwebbplatsen, sa han. (Se även "Skadliga webbapplikationer: Hur man ser dem, hur man slår dem.")
"Det verkar att killarna bakom den här 0dagen var inriktade på specifika industrier", sade Blasco.
Servern där den ursprungliga IE utnyttjar fann också lagras ett utnyttjande för en oöverträffad Java-sårbarhet förra månaden. Att Java exploit användes i attacker som tillskrivits säkerhetsforskare till en kinesisk hackergrupp som heter "Nitro".
Microsoft släppte redan en säkerhetsrådgivning om den nya IE-sårbarheten och rekommenderade tillfälliga lindringslösningar medan den fungerar på en lapp.
Undersökning säger att de flesta företag inte distribuerar Windows 7
Nästan sex av 10 företag har inga planer på att distribuera Microsofts senaste operativsystem, Windows 7 , som beräknas släppas i oktober, enligt en ny undersökning.
Forskare: Övervakning av skadlig programvara distribuerad via Flash Player exploit
Politiska aktivister från Mellanöstern var inriktade på attacker som utnyttjade en tidigare okänd Flash Player sårbarhet för installera ett så kallat lagligt avlyssningsprogram som är utformat för brottsbekämpning, sade säkerhetsforskare från antivirusleverantören Kaspersky Lab tisdag.
Malware för bitcoin-malning sprider sig på Skype, säger forskare
En spam-kampanj på Skype sprider malware med Bitcoin-gruvfunktioner. från Kaspersky Lab har identifierat en skräppostkampanj på Skype som sprider en del skadlig programvara med Bitcoin-gruvfunktioner.