Thành viên NATO và các tổ chức quốc phòng bị tấn công bởi lỗ hổng Java Zero-Day

Một tổ chức tình báo đã sử dụng một khai thác Java zero-day trong các cuộc tấn công nhằm vào thành viên NATO và các tổ chức quốc phòng có trụ sở tại Hoa Kì – theo báo cáo của Trend Micro.

Theo các nhà nghiên cứu, lỗ hổng thực thi mã từ xa chưa được vá trong Oracle Java SE đã bị nhóm tin tặc như  Pawn Storm, APT28, Sednit, Fancy Bear, Tsar Team, và Sofacy lợi dụng. Đây là cuộc tấn công Java zero-day đầu tiên được tìm thấy sau 2 năm.

Trend Micro hiện chưa đưa ra tài liệu kĩ thuật nào về lỗ hổng Java này. Công ty bảo mật lưu ý rằng lỗ hổng ảnh hưởng đến phiên bản mới nhất của Java 1.8.0.45 nhưng phiên bản cũ hơn như 1.6 và 1.7 không bị ảnh hưởng. Oracle đang làm việc với Trend Micro nhằm phân tích mối đe dọa này.

Trong cuộc tấn công vào các quốc gia thành viên NATO và tổ chức quốc phòng Hoa Kì, tin tặc gửi email chứa đường dẫn tới tên miền độc hại chứa khai thác Java (JAVA_DLOADR.EFD). Khai thác được thiết kế phát tán một Trojan dropper (TROJ_DROPPR.CXC), thả dữ liệu độc hại SPY_FAKEMS.C vào thư mục “login user”.

Pawn Storm, nhóm tin tặc hàng đầu của Nga chuyên tấn công các tổ chức quân sự, chính phủ, truyền thông và quốc phòng trên khắp thế giới. Lỗ hổng Java zero-day mà nhóm này sử dụng không hề liên quan đến vụ việc Hacking Team gần đây với ít nhất 3 lỗ hổng Adobe Flash Player và một lỗ hổng Windows zero-day bị rò rỉ r ngoài.

securityweek