NetTraveler retorna e ameaça empresas e governos

Pesquisadores da Kaspersky anunciaram um novo vetor de ataque do NetTraveler (também conhecido como “Travnet”, “NetFile” ou Red Star APT), uma ameaça persistente avançada, que já infectou centenas de vítimas de alto nível em mais de 40 países. Os alvos já conhecidos do NetTraveler incluem ativistas tibetanos/uigures, empresas da indústria do petróleo, centros e institutos de pesquisa científica, universidades, empresas privadas, governos e instituições governamentais, além de embaixadas e empreiteiros militares.

Imediatamente após a exposição pública das operações do NetTraveler em junho de 2013, os atacantes desligaram todos os sistemas de controle e comando conhecidos e mudaram sua base de operações para novos servidores na China, Hong Kong e Taiwan. Eles também continuaram os ataques sem impedimentos, como mostram os casos atuais. Nos últimos dias, vários e-mails de ataques de phishing foram enviados a ativistas uigures.

O exploit Java usado para distribuir esta nova variante do Red Star foi corrigido em junho de 2013, porém esse método de ataque teve uma taxa de sucesso muito alta. Já os ataques anteriores usaram exploits do Microsoft Office (CVE-2012-0158), uma falha que foi corrigida pela Microsoft em abril passado. Além do uso de e-mails de phishing, os operadores do APT adotaram a técnica de watering hole (que consiste em redirecionamentos web e drive-by-download em domínios legítimos) para infectar vítimas que navegam na web.

No último mês, a Kaspersky Lab interceptou e bloqueou uma série de tentativas de infecção a partir do domínio “wetstock [dot] org”, que é um site ligado a antigos ataques NetTraveler. Esses redirecionamentos parecem vir de outros sites uigures que foram comprometidos e infectados pelos atacantes NetTraveler. O time de analistas globais da Kaspersky Lab (GReAT) prevê que outros exploits recentes poderão ser integrados e utilizados contra alvos do grupo. Os analistas listaram recomendações de segurança aos usuários para eles se mantenham a salvo de tais ataques, incluindo:

● Atualize o Java para a versão mais recente ou, se você não utiliza o Java, desinstale-o;

●Atualize o Microsoft Office para a versão mais nova;

●Atualize todos os softwares de terceiros, como o Adobe Reader

●Utilize um browser seguro, como o Google Chrome, que tem um desenvolvimento e ciclo de patching mais rápido do que o Internet Explorer.

●Tenha cuidado ao clicar em links e abrir anexos de pessoas desconhecidas.

 

fonte:NetTraveler retorna e ameaça empresas e governos