Video: Андрей Паньгин — Нужен ли нам Unsafe в Java? (Oktober 2024)
Dengan exploit zero-day baru-baru ini untuk Java, kami mengalahkan drum "update Java now" dan memainkan "nonaktifkan Java bersama" dalam parade SecurityWatch . Jika itu tidak cukup, berita baru-baru ini bahwa kampanye serangan maya Oktober Merah memanfaatkan eksploitasi Jawa hanyalah satu lagi alasan untuk ikut campur.
Vektor serangan Java ditemukan oleh Seculert dan diumumkan Selasa di blog perusahaan. Sementara banyak penyerang memanfaatkan eksploitasi Jawa, itu berbeda dari apa yang sebelumnya diketahui tentang Oktober Merah. Dalam laporan awal tentang kampanye dari Kaspersky Labs, Red October ditandai dengan mengandalkan serangan email spearphishing yang sangat ditargetkan dengan file yang terinfeksi.
"Dalam vektor, penyerang mengirim email dengan tautan tertanam ke laman web PHP yang dibuat khusus, " tulis Seculert. "Halaman web ini mengeksploitasi kerentanan di Jawa (CVE-2011-3544), dan di latar belakang mengunduh dan mengeksekusi malware secara otomatis."
Bukan Eksploitasi Baru
Penting untuk dicatat adalah bahwa serangan Java yang digunakan oleh Red October bukanlah eksploitasi nol hari yang telah kami bahas. Bahkan, Seculert menulis bahwa bagian dari serangan Oktober Merah ini ditulis sekitar Februari 2012, sedangkan eksploit yang digunakannya ditambal pada Oktober 2011. Inilah sebabnya mengapa Anda harus membuat perangkat lunak Anda ditambal dan diperbarui.
Setelah berita tentang aspek Jawa dari Red October diterbitkan, Kaspersky memposting tindak lanjut dengan informasi lebih lanjut. "Tampaknya vektor ini tidak banyak digunakan oleh grup, " tulis Kaspersky. "Ketika kami mengunduh php yang bertanggung jawab untuk melayani arsip kode mal '.jar', baris kode yang memberikan exploit java dikomentari."
Mencoba untuk mengkarakterisasi aspek serangan ini, Kaspersky tidak percaya bahwa ini menunjukkan pendekatan yang berbeda oleh Red October. Sebagai gantinya, mereka percaya itu sejalan dengan serangan metodis, yang diteliti dengan baik yang merupakan merek dagang Red October.
Apa artinya
"Kami dapat berspekulasi bahwa kelompok tersebut berhasil mengirimkan muatan malware mereka ke target yang tepat selama beberapa hari, maka tidak perlu upaya lagi, " tulis Kaspersky kemarin. "Yang mungkin juga memberi tahu kita bahwa kelompok ini, yang dengan cermat mengadaptasi dan mengembangkan perangkat infiltrasi dan pengumpulan mereka ke lingkungan para korban, harus pindah ke Jawa dari teknik spearphishing yang biasa mereka lakukan pada awal Februari 2012."
Kaspersky kemudian menulis bahwa beberapa aspek teknis dari serangan ini berbeda dari serangan Oktober Merah lainnya, yang membuat perusahaan keamanan percaya bahwa eksploitasi ini dikembangkan untuk target tertentu.
Sungguh melegakan mendengar bahwa aspek Jawa dari Red October tidak digunakan untuk membidik korban yang lebih luas. Sementara kampanye serangan cyber ini sangat menakutkan dalam keefektifannya, penciptanya berfokus pada target pemerintah dan diplomatik kelas atas dan bukan pengguna sehari-hari. Namun, itu juga menunjukkan bahwa banyak eksploitasi perangkat lunak terkenal oleh penyerang, yang akan mengambil keuntungan dari pengguna malas yang menghindari pembaruan mereka.
Untuk informasi lebih lanjut dari Max, ikuti dia di Twitter @wmaxeddy.
