NetTraveler is terug en gooit nieuwe trucs in de strijd

03 sep 2013
Virus News

Onderzoekers van Kaspersky Lab hebben vandaag het bestaan onthuld van een nieuwe aanvalsvector van NetTraveler (ook bekend als 'Travnet', 'Netfile' of ‘Red Star APT’). Deze geavanceerde, hardnekkige bedreiging heeft al honderden belangrijke slachtoffers besmet in meer dan 40 landen. Tot de bekende doelwitten van NetTraveler behoren Tibetaanse/Oeigoerse activisten, de olie-industrie, wetenschappelijke onderzoekscentra en - instituten, universiteiten, particuliere bedrijven, overheden en overheidsinstellingen, ambassades en militaire bedrijven.
 
Onmiddellijk na de publieke onthulling van NetTraveler’s activiteiten, in juni 2013, legden de aanvallers alle bekende command- & control-systemen stil en verplaatsten deze naar nieuwe servers in China, Hong Kong en Taiwan. De aanvallen bleven vervolgens ongehinderd doorgaan, zoals de huidige bevindingen aantonen.
 
In de afgelopen dagen werden verschillende spear-phishing e-mails verstuurd naar meerdere Oeigoerse activisten. De hierbij gebruikte Java-exploit (dat een nieuwe variant van de Red Star APT distribueert) heeft een veel grotere kans op succes dan de eerdere gebruikte Office-exploits (CVE-2012-0158) waarvoor Microsoft al in april 2013 een patch heeft uitgebracht. De nu gebruikte Java-exploit is gepatch in juni 2013.

Naast de spear-phishing e-mails, hebben Advanced Persistent Threats (APT)-exploitanten de zogenaamde ‘watering hole’ techniek ingezet om slachtoffers die op het web surften te infecteren. Hierbij worden webomleidingen en drive-by downloads gebruikt.

De afgelopen maand heeft Kaspersky Lab diverse infectiepogingen van het "wetstock[dot]org" domein onderschept en geblokkeerd. Van deze website is het bekend dat deze is betrokken bij eerdere NetTraveler aanvallen. Deze omleidingen lijken afkomstig te zijn van andere Oeigoerse-gerelateerde websites die besmet werden door NetTraveler aanvallers.
 
Experts van Kaspersky Lab’s Global Research & Analysis Team (GReAT) voorspellen dat andere recente exploits kunnen worden geïntegreerd en gebruikt tegen doelen van de groep. Onderstaand geven zij aanbevelingen over manieren om zich te beveiligen tegen dergelijke aanvallen:

  •  Update Java naar de meest recente versie of verwijder Java als je dit niet gebruikt.

  • Voorzie Microsoft Windows en Office van de nieuwste updates.

  • Update alle andere software van derden, zoals Adobe Reader.

  • Gebruik een veilige browser zoals Google Chrome, die een snellere ontwikkel- en patchcyclus heeft dan het standaard door Windows gebruikte Internet Explorer.

  • Wees op je hoede bij het klikken op koppelingen en het openen van bijlagen van onbekende personen.

"Tot nu toe hebben we het gebruik van zero-day kwetsbaarheden nog niet gezien bij de NetTraveler groep. Patches helpen niet om zich hier tegen te verdedigen. Technologieën zoals Automatic Exploit Prevention en DefaultDeny kunnen echter heel effectief zijn in de strijd tegen geavanceerde, hardnekkige dreigingen", aldus Costin Raiu, Directeur van Kaspersky Lab's Global Research & Analysis Team.
 
Zie securelist.com voor meer informatie over NetTraveler’s nieuwe aanval.