Эксперты «Лаборатории Касперского» сообщили о новой волне кампании кибер-шпионажа NetTraveler (также известной как Travnet, Netfile или Red Star APT), поразившей ранее сотни государственных и частных организаций в более чем 40 странах мира. Среди выявленных целей операции NetTraveler были правительственные учреждения, посольства, политические активисты, военные организации, нефтегазовые компании, научно-исследовательские центры и университеты, многие из которых располагались на территории России. Сразу же после огласки «Лабораторией Касперского» в июне 2013 г. действий группы, стоящей за NetTraveler, злоумышленники отключили свои командные центры и перенесли их на новые серверы в Китае, Гонконге и Тайване. При этом, как показал анализ текущей ситуации, кибер-преступники продолжили беспрепятственно совершать атаки. «В течение последних нескольких дней были зафиксированы целевые фишинговые рассылки уйгурским активистам. Использованная злоумышленниками Java-уязвимость оказалась более эффективной для заражения компьютеров жертв, так как была закрыта Oracle лишь в июне этого года, а значит, все еще широко распространена среди пользователей, — рассказали в «Лаборатории Касперского». — Предыдущая серия атак осуществлялась через уязвимости Microsoft Office (CVE-2012-0158), "заплатки" для которых были выпущены компанией Microsoft еще в апреле». В дополнение к фишинговым рассылкам, группа злоумышленников теперь также распространяет зловреды через сторонние веб-сайты. За прошедший месяц специалисты «Лаборатории Касперского» перехватили и заблокировали ряд таких попыток заражения со стороны домена "wetstock[dot]org", который уже был связан с кампанией NetTravaler ранее. Переадресация происходила с различных уйгурских сайтов, которые были предварительно взломаны и заражены атакующими. «К счастью, на данный момент мы не обнаружили случаев использования уязвимостей нулевого дня хакерами, стоящими за NetTraveler», — прокомментировал ситуацию Костин Раю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского». Несмотря на это, злоумышленники используют для распространения трояна, уязвимость CVE-2013-2465 в Java версии 5, 6 и 7, закрытой Oracle в июле 2013 г. Интернет-пользователям рекомендуется внимательнее относить к получаемой корреспонденции и не переходить по подозрительным веб-ссылкам.
Источник