Nieuws
image

Nieuwe Java-malware draagt certificaat securitybedrijf

zondag 3 maart 2013, 15:43 door Redactie, 5 reacties

Een nieuw beveiligingslek dat afgelopen vrijdag in Java werd ontdekt blijkt banden te hebben met de aanval op het beveiligingsbedrijf Bit9. Bit9 maakt whitelisting-software waardoor alleen bepaalde software op systemen is toegestaan. Alle overige software kan niet worden geïnstalleerd of is bij voorbaat verdacht.

Het bedrijf werd vorig jaar juli gehackt via een SQL Injectie-aanval op een webserver. Daardoor wisten aanvallers toegang tot het interne netwerk te krijgen. Eenmaal op het netwerk wisten de aanvallers toegang te krijgen tot één van de certificaten waarmee Bit9 code signeert. Andere software weet hierdoor dat het om legitieme Bit9 software gaat. De aanvallers signeerden er echter malware mee.

De gesigneerde malware werd vervolgens tegen drie bedrijven ingezet. Wat voor bedrijven dit zijn wilde Bit9 niet vertellen, maar de software van het bedrijf wordt bij veel Fortune 500 bedrijven, banken en defensiebedrijven in de VS gebruikt.

Spionage
De malware die zich via het nieuwe Java-lek verspreidt is ook met het certificaat van Bit9 gesigneerd, zo ontdekten onderzoekers van Symantec. Het gaat om een DLL-bestand dat in werkelijkheid de Naid Trojan blijkt te zijn. De malware maakt verbinding met een Command & Control server met het Chinese IP-adres 110.173.55.187.

De Naid Trojan is volgens Symantec zeer persistent en zou ook bij andere aanvallen zijn ingezet, waaronder een aanval via een 'zero-day-lek' in Internet Explorer. Al deze aanvallen zouden door bedrijfsspionage zijn gemotiveerd.

Reacties (5)
03-03-2013, 19:18 door Anoniem
Internetten anno 2013 lijkt meer op vechten en strijden tegen malware,phishing enz. , dan dat je leuk/ontspannen aan het computeren bent.
03-03-2013, 20:44 door yobi
whois 110.173.55.187 -H
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 110.173.48.0 - 110.173.63.255
netname: CHINADEDICATED-HK
descr: Room B, 8/F Wing Cheung Ind Building
country: HK
admin-c: CDCn1-AP
tech-c: CDCn1-AP
status: ALLOCATED PORTABLE
remarks: Used for service-hosting
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINADEDICATED-HK
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20090507
source: APNIC

role: CHINA DEDICATED COMPANY - network administrator
address: Room B, 8/F, Wing Cheung Ind Building, No. 109, How Ming Street, Kwun Tong
country: HK
phone: +85268554675
e-mail: admin@chinadedicated.com
admin-c: CDCn1-AP
tech-c: CDCn1-AP
nic-hdl: CDCn1-AP
mnt-by: MAINT-CHINADEDICATED-HK
changed: hm-changed@apnic.net 20090507
source: APNIC
changed: hm-changed@apnic.net 20090507
04-03-2013, 08:33 door Anoniem
Shades of RSA security inc.
05-03-2013, 08:09 door [Account Verwijderd]
[Verwijderd]
06-03-2013, 10:52 door Anoniem
Door Anoniem: Internetten anno 2013 lijkt meer op vechten en strijden tegen malware,phishing enz. , dan dat je leuk/ontspannen aan het computeren bent.
Heb ik geen last van. Moet de eerste malware nog zien die het hier doet. Phishing? Ik krijg sowieso nauwlijks spam, en dat zonder spamfilter op de mailbox.

De grootste ergernis is eigenlijk die spammende recruiters, doen ze allemaal, zelfs een paar waar ik nooit contact mee heb gehad. Maar weer eens wat spamklachten versturen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search