NetTraveler è tornato, malware ancora utilizzato dai pirati informatici


I ricercatori di Kaspersky Lab hanno annunciato un nuovo vettore di attacco di NetTraveler (conosciuto anche con il nome di “Travnet”, “Netfile” o Red Star APT), una minaccia persistente avanzata che ha già colpito centinaia di vittime di alto profilo in 40 paesi. Gli obiettivi di NetTraveler includono attivisti Tibetani/Uiguri, aziende petrolifere, di ricerca scientifica, università, aziende private e agenzie governative, ambasciate e aziende che operano nel settore militare. 

Subito dopo la scoperta di NetTraveler nel giugno 2013, i criminali hanno disattivato il sistema di comando e controllo spostando i server in Cina, Hong Kong e Taiwan, proseguendo comunque le proprie attività. Nel corso degli ultimi giorni, numerose email di spear-phishing sono state inviate ad attivisti Uiguri. L’exploit Java utilizzato per distribuire la nuova variante di Red Star APT è stato patchato nel mese di giugno 2013 e quindi rimane particolarmente efficace. 

I precedenti attacchi utilizzavano exploit Office (CVE-2012-0158), che erano stati disattivati da Microsoft lo scorso aprile. Oltre all’utilizzo di email di spear-phishing, gli operatori APT hanno adottato la tecnica del watering hole (reindirizzamento web e drive-by download su domini manipolati) per infettare le vittime che navigavano sul web.  

Nel corso dello scorso mese, Kaspersky Lab ha intercettato e bloccato una serie di tentativi di infezione dal dominio “wetstock[dot]org”, sito conosciuto per i propri collegamenti con attacchi  NetTraveler. Questi reindirizzamenti sembrano arrivare da altri siti Uiguri che sono stati compromessi e infettati da NetTraveler. Il team Global Research and Analysis Team (GReAT) di Kaspersky Lab aveva previsto l’integrazione e l’utilizzo di ulteriori exploit e fornisce alcuni suggerimenti:

●      Aggiornare Java alla versione più recente e se non lo si utilizza, disinstallarlo.
●      Aggiornare Microsoft Windows e Office con l’ultima versione.
●      Aggiornare tutti i software, come Adobe Reader.
●      Utilizzare un browser sicuro come Google Chrome, che ha uno sviluppo di patch più veloce rispetto a Internet Explorer.  
●      Prestare attenzione quando si clicca su link e si aprono allegati da mittenti sconosciuti.

“Ad oggi non abbiamo osservato l’utilizzo di vulnerabilità zero-day con NetTraveler. Per difendersi da questi, le patch sono poco efficaci mentre possono essere di grande aiuto tecnologie di DefaultDeny e Automatic Exploit Prevention”, - ha dichiarato Costin Raiu, Director of Global Research & Analysis Team di Kaspersky Lab. Secondo gli esperti russi il gruppo di hacker, che consterebbe di una cinquantina di componenti, sarebbe operativo almeno dal 2005.  Per ulteriori informazioni: Securlist.com.


Fonte: Kaspersky

Nessun commento:

Posta un commento