Skadliga programmet NetTraveler är tillbaks

03 sep 2013
Virus News

Kaspersky Lab har upptäckt en ny attack från NetTraveler, ett skadligt program av sorten APT (advanced persistent threat) som redan har infekterat hundratals högprofilerade offer i fler än 40 länder. Kända måltavlor för NetTraveler är bland annat tibetanska/uiguriska aktivister, oljebolag, vetenskapliga forskningsinstitut, universitet, privata företag, regeringar, ambassader och militära underleverantörer.

 
Omedelbart efter det offentliga avslöjandet av NetTraveler (också känd som Travnet, Netfile eller Red Star APT) i juni 2013 stängde angriparna ner alla kända kontrollsystem och flyttade dem till nya servrar i Kina, Hong Kong och Taiwan. Attackerna har obehindrat kunnat fortsätta vilket nu visas.

 
Under de senaste dagarna har ett flertal nätfiskemejl skickats till åtskilliga uiguriska aktivister, en attackmetod av typen harpunfiske. Angriparna använder en sårbarhet i Java för att distribuera den nya varianten av NetTraveler. Denna sårbarhet åtgärdades så sent som i juni 2013 och har därför en högre framgångsfrekvens än de sårbarheter hos Office som har använts i tidigare attacker och som åtgärdades av Microsoft i april 2013.


Utöver nätfiskemejl har angriparna använt så kallade vattenhål (omdirigering från webbsidor och drive-by nedladdningar på riggade domäner) för att infektera offer som surfar på nätet.


Under senaste månaden har Kaspersky Lab fångat upp och blockerat ett antal infektionsförsök från domänen wetstock[dot]org som redan innan har förekommit i tidigare NetTraveler-attacker. Omdirigeringarna verkar komma från andra Uigurenrelaterade webbsidor som har infekterats av angriparna bakom NetTraveler.

 
Experter hos Kaspersky Lab förutspår att andra sårbarheter kan integreras och användas mot programmets måltavlor. För att skydda sig mot dessa attacker gör Kaspersky Lab följande rekommendationer:

  • Uppdatera Java till senaste versionen eller, om du inte använder Java, avinstallera det

  • Uppdatera Microsoft Windows och Office till senaste versionerna

  • Uppdatera alla andra program från tredjepartsleverantörer, till exempel Adobe

  • Använd en säker webbläsare som Google Chrome, som har en snabbare cykel för utveckling och patchar än Windows förvalda webbläsare Internet Explorer

  • Var försiktig med att klicka på länkar och öppna bilagor från okända personer


– Hittills har vi inte kunnat se att angriparna bakom NetTraveler har använt nolldagssårbarheter, säger Costin Raiu, chef för Kaspersky Labs globala forskningsteam. För att värja sig mot dessa hjälper det inte att uppdatera med de senaste patcharna, men tekniker som Automatic Exploit Prevention och DefaultDeny kan vara ett effektivt skydd mot avancerade långvariga hot.

För mer information om NetTraveler besök www.securelist.com.

Copyright © 1997 - 2014 Kaspersky Lab

Med ensamrätt. Branschledande antivirusskydd.