Car-tech

IE利用分发了PlugX恶意软件,研究人员称

Anonim

来自安全厂商AlienVault的研究人员发现了一种最近发现的Internet Explorer漏洞的变体,该漏洞用于通过PlugX远程访问木马(RAT)程序感染目标计算机

AlienVault实验室经理Jaime Blasco周二在一篇博客文章中称,新发现的漏洞利用变种针对IE 6,7,8和9中与原始漏洞相同的未修复漏洞,但使用的代码略有不同,并且具有不同的有效负载。第一个漏洞是周末在安全研究人员Eric Romang的已知恶意服务器上发现的,并且发布了毒药常春藤RAT。 AlienVault研究人员发现的第二个漏洞版本在另一台服务器上发现,并安装了一个名为PlugX的更新的RAT程序。

[更多阅读:如何从Windows PC删除恶意软件]

然而,文件修改日期两台服务器都表示这两个版本的漏洞利用至少从9月14日起开始使用。“

”我们知道,积极使用PlugX恶意软件的组织也称为Flowershow,可以访问Internet Explorer ZeroDay [针对未修补漏洞的攻击]在发现之前的几天,“Blasco说。 “由于新发现的漏洞代码和前几天发现的漏洞代码的相似之处,很可能同一组落后于两个实例。”

AlienVault研究人员一直在追踪今年早些时候以来使用PlugX RAT的攻击。基于在恶意软件中发现的文件调试路径,他们认为相对较新的RAT是由一个名为WHG的中国黑客开发的,后者曾与中国着名黑客团体Network Crack Program Hacker(NCPH)有过联系。 > AlienVault的研究人员还发现了另外两个网站,它们在过去为新的IE攻击提供了服务,但是没有有效载荷可以从他们那里获得,Blasco说。他说,其中一个是来自印度的防务新闻网站,另一个可能是第二届国际LED专业研讨会网站的假版本。 (另请参阅“恶意网络应用程序:如何发现它们,如何击败它们”)

“看起来这个0天背后的人是针对特定行业的,”Blasco说,

原始IE利用率的服务器被发现还存储了上个月针对未修补的Java漏洞的漏洞。这个Java漏洞被安全研究人员用来攻击被称为“Nitro”的中国黑客组织的攻击。<​​

微软已经发布了一个关于新的IE漏洞的安全公告,并且建议在修补程序中使用临时缓解解决方案。