Лабораторія Касперського повернення nettraveler новини та огляди

"Лабораторія Касперського": повернення NEtTraveler

NEtTraveler - це шкідлива програма, про яку ми детально писали в попередньому пості; вона здійснює APT-атаки, жертвами яких стали вже сотні відомих людей більш ніж в сорока країнах.

У числі мішеней NetTraveler (також відомої як Travnet і Netfile) тибетські і уйгурские активісти, нафтові компанії, науково-дослідні інститути і наукові центри, університети, приватні компанії, уряду і урядові інститути, посольства і військові об'єкти.

За останні кілька днів уйгурским активістам було відправлено кілька електронних листів з цільовим фішингом (spearphishing).

Це повідомлення можна перевести приблизно так:

Представник Всесвітнього Уйгурського Конгресу зробив наступну заяву про масову бійню в повіті Каргалик. До відома всіх.

На момент написання цього блогу командний сервер працює і приймає дані, вкрадені з заражених комп'ютерів.

NetTraveler і атака Watering Hole

Мабуть, немає нічого дивного в тому, що в атаках NetTraveler цей прийом тепер теж застосовується. Минулого місяця ми перехопили і заблокували кілька спроб зараження з домену weststock [точка] org, який, як відомо, пов'язаний з NetTraveler. Користувачі перенаправлялись на нього з ще одного уйгурського сайту, що належить «Ісламської асоціації Східного Туркистана» (Islamic Association of Eastern Turkistan):

висновок

Як же захистити себе від таких атак?

За групою NetTraveler поки не було помічено використання 0-day вразливостей. Для захисту від 0-day атак - оскільки патчі тут не працюють - можуть бути цілком ефективними технології AEP (Automatic Exploit Prevention), а для захисту від APT-атак - режим Default Deny.