Nieuwe aanvalsvector van NetTraveler duikt op

Een nieuwe aanvalsvector van NetTraveler, ook bekend als 'Travnet', 'Netfile' of 'Red Start APT', is opgedoken. Kaspersky Lab meldt dat de geavanceerde en hardnekkige bedreiging al honderden belangrijke slachtoffers heeft besmet in meer dan 40 landen.
Nieuwe aanvalsvector van NetTraveler duikt op
Tot de bekende doelwitten van NetTraveler behoren Tibetaanse/Oeigoerse activisten, de olie-industrie, wetenschappelijke onderzoekscentra en – instituten, universiteiten, particuliere bedrijven, overheden en overheidsinstellingen, ambassades en militaire bedrijven.
Onmiddellijk na de publieke onthulling van NetTraveler’s activiteiten, in juni 2013, legden de aanvallers alle bekende command- & control-systemen stil en verplaatsten deze naar nieuwe servers in China, Hong Kong en Taiwan. De aanvallen bleven vervolgens ongehinderd doorgaan, zoals de huidige bevindingen aantonen.
In de afgelopen dagen zijn verschillende spear-phishing e-mails verstuurd naar Oeigoerse activisten. De hierbij gebruikte Java-exploit (dat een nieuwe variant van de Red Star APT distribueert) heeft een veel grotere kans op succes dan de eerdere gebruikte Office-exploits (CVE-2012-0158) waarvoor Microsoft al in april 2013 een patch heeft uitgebracht. De nu gebruikte Java-exploit is gepatch in juni 2013.
Naast de spear-phishing e-mails, hebben de cybercriminelen de zogenaamde ‘watering hole’ techniek ingezet om slachtoffers die op het web surften te infecteren. Hierbij worden webomleidingen en drive-by downloads gebruikt.
De afgelopen maand heeft Kaspersky Lab diverse infectiepogingen van het "wetstock[dot]org" domein onderschept en geblokkeerd. Van deze website is het bekend dat deze is betrokken bij eerdere NetTraveler aanvallen. Deze omleidingen lijken afkomstig te zijn van andere Oeigoerse-gerelateerde websites die besmet werden door NetTraveler aanvallers.
Experts van Kaspersky adviseren een aantal maatregelen te nemen om u te wapenen tegen dergelijke aanvallen:
  • Update Java naar de meest recente versie of verwijder Java als je dit niet gebruikt.
  • Voorzie Microsoft Windows en Office van de nieuwste updates.
  • Update alle andere software van derden, zoals Adobe Reader.
  • Gebruik een veilige browser zoals Google Chrome, die een snellere ontwikkel- en patchcyclus heeft dan het standaard door Windows gebruikte Internet Explorer.
  • Wees op je hoede bij het klikken op koppelingen en het openen van bijlagen van onbekende personen.