Valse KLPD e-mail besmet computer via Java-lek
Er gaat op dit moment een e-mail rond die van de KLPD afkomstig zou zijn, maar in werkelijkheid probeert om computers via een Java-lek te infecteren. De e-mail heeft als onderwerp "Politiebericht! Uw bedrijf is mogelijk aangevallen door internet criminelen" en zou door het Korps Landelijke Politiediensten zijn verstuurd. Volgens het bericht is het bedrijf van de ontvanger mogelijk ook slachtoffer geworden van internetcriminaliteit.
Verspreiden
De ontvanger kan vervolgens via een "controle-systeem" controleren of hij ook slachtoffer is geworden. Verder verzoeken de aanvallers om de e-mail binnen het bedrijf te verspreiden. "En middels de bijgevoegde link te controleren of er systemen binnen uw bedrijf besmet zijn met een virus."
De link wijst naar de website hemrah.com waarop een nagemaakte KLPD-site draait. Op de website is een Java-exploit verstopt. Na een afbeelding van een zogenaamde controle meldt de website dat het systeem niet is besmet.
[admin] De link is als afbeelding toegevoegd [/admin]
Indien Java niet noodzakelijk is, wordt het aanbevolen om het te verwijderen. Misschien kan de hosting-provider de site alvast verwijderen.
[admin] De link is als afbeelding toegevoegd [/admin]
Mogelijk zijn er ook mensen geïnteresseerd on een analyse te doen.
[admin] De link is als afbeelding toegevoegd [/admin]
Oke, dan een kleine analyse:
Deze email lijkt puur gericht tegen Nederlandse bedrijven en organisaties, op de website is een lijst van ruim 186k bedrijven en emailadressen te vinden: http://hemrah.com/file/css/bedr.csv
Op de bewuste pagina wordt een javascript bestand aangesproken: ga.js
Welke wat checks lijkt uit te voeren om welke browser het gaat om vervolgens j3.html aan te roepen, welke de uiteindelijke exploit j3.jar aanspreekt.
Hierin zitten sowiezo de volgende classes:
j2/a/Payl.class: https://www.virustotal.com/file/7d0fb16da2776f77553db1a649774a692e47fabe32f04eebdc71d97bca2043e8/analysis/1342456502/
j2/a/Payl$StreamConnector.class: https://www.virustotal.com/file/de2b2387a2c474c56bc9ebc7c95ba8a26a3996763b4ccfea14fd5a8505b4f281/analysis/1342456465/
j3/Attacker.class: https://www.virustotal.com/file/951ff54001e9e148146ccb55194c07d84a2730cd6c940895b68baaa5124f4186/analysis/
j3/ConfusingClassLoader.class: https://www.virustotal.com/file/06e6d1a58711eb31e08d82a261b9e8a392dce81a09287e7706a53d9fcb77d77c/analysis/1342456621/
j3/Confuser.class: kwam niet door avira heen, is van soort: EXP/JAVA.Ivinest.GEN, lijkt een kersverse exploit die nog maar 2 dagen in avira zit en is volgens avira nog niet echt veel in het wild gezien, in 2 dagen 1000x detectie, dat is niet veel voor een java exploit als je het mij vraagt: https://www.avira.com/en/support-threats-summary/tid/7584/threat/EXP%252FJAVA.Ivinest.Gen, https://www.virustotal.com/file/070ac97052aa1fc5f5bb60fbc5806b12af0674de3e578211e9192b0f34c7f359/analysis/, deze link is overigens van een andere dingen afkomstig
Er worden dus 3 exploits uit de blackhole toolkit uitgeprobeerd, de detectie is zeer gering te noemen, alleen j3/Confuser.class wordt matig gedetecteerd, maar bijvoorbeeld ook niet door bitdefender en symantec
Het gaat sowieso om exploits voor CVE-2012-0507 en 2 varianten van CVE-2012-1723
Het trojaanse paard heet br.jpg en wordt maar door 7 virusscanners herkend: https://www.virustotal.com/file/513b634be03f36c32f58ed44a5e4dae448a3d2af8bbca1695986ecd7117fecad/analysis/1342447423/
update:
CVE-2012-0507 gaat al wat langer mee, iedere versie van java t/m 6.30 en 7.2 is kwetsbaar: http://cvedetails.com/cve-details.php?t=1&cve_id=CVE-2012-0507
CVE-2012-1723 is kersvers, iedere versie van java t/m 6.34 en 7.4 is kwetsbaar: http://cvedetails.com/cve-details.php?t=1&cve_id=CVE-2012-1723
Om te verwijderen heb ik de pc uitgezet en weer opgestart in de veilige modus.
Vanuit deze veilige modus een systeemherstel uitgevoerd. Dat was voldoende.
Om mezelf gerust te stellen, heb ik m'n pc laten controleren door iemand met meer verstand van zaken
en het bleek dat het virus verdwenen was en geen sporen had achter gelaten.
Kleine correctie: java 6.34 is nog niet uit. Het is t/m 6.32. 1.6.0_33 bevat een fix voor CVE-2012-1723
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.