Nieuwe Java-malware draagt certificaat securitybedrijf
Een nieuw beveiligingslek dat afgelopen vrijdag in Java werd ontdekt blijkt banden te hebben met de aanval op het beveiligingsbedrijf Bit9. Bit9 maakt whitelisting-software waardoor alleen bepaalde software op systemen is toegestaan. Alle overige software kan niet worden geïnstalleerd of is bij voorbaat verdacht.
Het bedrijf werd vorig jaar juli gehackt via een SQL Injectie-aanval op een webserver. Daardoor wisten aanvallers toegang tot het interne netwerk te krijgen. Eenmaal op het netwerk wisten de aanvallers toegang te krijgen tot één van de certificaten waarmee Bit9 code signeert. Andere software weet hierdoor dat het om legitieme Bit9 software gaat. De aanvallers signeerden er echter malware mee.
De gesigneerde malware werd vervolgens tegen drie bedrijven ingezet. Wat voor bedrijven dit zijn wilde Bit9 niet vertellen, maar de software van het bedrijf wordt bij veel Fortune 500 bedrijven, banken en defensiebedrijven in de VS gebruikt.
Spionage
De malware die zich via het nieuwe Java-lek verspreidt is ook met het certificaat van Bit9 gesigneerd, zo ontdekten onderzoekers van Symantec. Het gaat om een DLL-bestand dat in werkelijkheid de Naid Trojan blijkt te zijn. De malware maakt verbinding met een Command & Control server met het Chinese IP-adres 110.173.55.187.
De Naid Trojan is volgens Symantec zeer persistent en zou ook bij andere aanvallen zijn ingezet, waaronder een aanval via een 'zero-day-lek' in Internet Explorer. Al deze aanvallen zouden door bedrijfsspionage zijn gemotiveerd.
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 110.173.48.0 - 110.173.63.255
netname: CHINADEDICATED-HK
descr: Room B, 8/F Wing Cheung Ind Building
country: HK
admin-c: CDCn1-AP
tech-c: CDCn1-AP
status: ALLOCATED PORTABLE
remarks: Used for service-hosting
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINADEDICATED-HK
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20090507
source: APNIC
role: CHINA DEDICATED COMPANY - network administrator
address: Room B, 8/F, Wing Cheung Ind Building, No. 109, How Ming Street, Kwun Tong
country: HK
phone: +85268554675
e-mail: admin@chinadedicated.com
admin-c: CDCn1-AP
tech-c: CDCn1-AP
nic-hdl: CDCn1-AP
mnt-by: MAINT-CHINADEDICATED-HK
changed: hm-changed@apnic.net 20090507
source: APNIC
changed: hm-changed@apnic.net 20090507
De grootste ergernis is eigenlijk die spammende recruiters, doen ze allemaal, zelfs een paar waar ik nooit contact mee heb gehad. Maar weer eens wat spamklachten versturen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
