I ricercatori di Kaspersky Lab hanno annunciato un nuovo vettore di attacco di NetTraveler (conosciuto anche con il nome di “Travnet”, “Netfile” o Red Star APT), una minaccia persistente avanzata che ha già colpito centinaia di vittime di alto profilo in 40 paesi. Gli obiettivi di NetTraveler includono attivisti Tibetani/Uiguri, aziende petrolifere, di ricerca scientifica, università, aziende private e agenzie governative, ambasciate e aziende che operano nel settore militare. Subito dopo la scoperta di NetTraveler nel giugno 2013, i criminali hanno disattivato il sistema di comando e controllo spostando i server in Cina, Hong Kong e Taiwan, proseguendo comunque le proprie attività. Nel corso degli ultimi giorni, numerose email di spear-phishing sono state inviate ad attivisti Uiguri. L’exploit Java utilizzato per distribuire la nuova variante di Red Star APT è stato patchato nel mese di giugno 2013 e quindi rimane particolarmente efficace. I precedenti attacchi utilizzavano exploit Office (CVE-2012-0158), che erano stati disattivati da Microsoft lo scorso aprile. Oltre all’utilizzo di email di spear-phishing, gli operatori APT hanno adottato la tecnica del watering hole (reindirizzamento web e drive-by download su domini manipolati) per infettare le vittime che navigavano sul web. Nel corso dello scorso mese, Kaspersky Lab ha intercettato e bloccato una serie di tentativi di infezione dal dominio “wetstock[dot]org”, sito conosciuto per i propri collegamenti con attacchi NetTraveler. Questi reindirizzamenti sembrano arrivare da altri siti Uiguri che sono stati compromessi e infettati da NetTraveler. Il team Global Research and Analysis Team (GReAT) di Kaspersky Lab aveva previsto l’integrazione e l’utilizzo di ulteriori exploit e fornisce alcuni suggerimenti: ● Aggiornare Java alla versione più recente e se non lo si utilizza, disinstallarlo. ● Aggiornare Microsoft Windows e Office con l’ultima versione.● Aggiornare tutti i software, come Adobe Reader.● Utilizzare un browser sicuro come Google Chrome, che ha uno sviluppo di patch più veloce rispetto a Internet Explorer. ● Prestare attenzione quando si clicca su link e si aprono allegati da mittenti sconosciuti. “Ad oggi non abbiamo osservato l’utilizzo di vulnerabilità zero-day con NetTraveler. Per difendersi da questi, le patch sono poco efficaci mentre possono essere di grande aiuto tecnologie di DefaultDeny e Automatic Exploit Prevention”, – ha dichiarato Costin Raiu, Director of Global Research & Analysis Team di Kaspersky Lab. Per ulteriori informazioni: securelist.com.
