Skadliga programmet NetTraveler är tillbaks

Kaspersky Lab har upptäckt en ny attack från NetTraveler, ett skadligt program av sorten APT (advanced persistent threat) som redan har infekterat hundratals högprofilerade offer i fler än 40 länder. Kända måltavlor för NetTraveler är bland annat tibetanska/uiguriska aktivister, oljebolag, vetenskapliga forskningsinstitut, universitet, privata företag, regeringar, ambassader och militära underleverantörer.

Omedelbart efter det offentliga avslöjandet av NetTraveler (också känd som Travnet, Netfile eller
Red Star APT) i juni 2013 stängde angriparna ner alla kända kontrollsystem och flyttade dem till nya servrar i Kina, Hong Kong och Taiwan. Attackerna har obehindrat kunnat fortsätta vilket nu visas.

Under de senaste dagarna har ett flertal nätfiskemejl skickats till åtskilliga uiguriska aktivister, en attackmetod av typen harpunfiske. Angriparna använder en sårbarhet i Java för att distribuera den
nya varianten av NetTraveler. Denna sårbarhet åtgärdades så sent som i juni 2013 och har därför en högre framgångsfrekvens än de sårbarheter hos Office som har använts i tidigare attacker och som åtgärdades av Microsoft i april 2013.

Utöver nätfiskemejl har angriparna använt så kallade vattenhål (omdirigering från webbsidor och drive-by nedladdningar på riggade domäner) för att infektera offer som surfar på nätet.

Under senaste månaden har Kaspersky Lab fångat upp och blockerat ett antal infektionsförsök från domänen wetstock[dot]org som redan innan har förekommit i tidigare NetTraveler-attacker. Omdirigeringarna verkar komma från andra Uigurenrelaterade webbsidor som har infekterats av angriparna bakom NetTraveler.

Experter hos Kaspersky Lab förutspår att andra sårbarheter kan integreras och användas mot programmets måltavlor. För att skydda sig mot dessa attacker gör Kaspersky Lab följande rekommendationer:

• Uppdatera Java till senaste versionen eller, om du inte använder Java, avinstallera det
• Uppdatera Microsoft Windows och Office till senaste versionerna
• Uppdatera alla andra program från tredjepartsleverantörer, till exempel Adobe
• Använd en säker webbläsare som Google Chrome, som har en snabbare cykel för utveckling och patchar än Windows förvalda webbläsare Internet Explorer
• Var försiktig med att klicka på länkar och öppna bilagor från okända personer

– Hittills har vi inte kunnat se att angriparna bakom NetTraveler har använt nolldagssårbarheter, säger Costin Raiu, chef för Kaspersky Labs globala forskningsteam. För att värja sig mot dessa hjälper det inte att uppdatera med de senaste patcharna, men tekniker som Automatic Exploit Prevention och DefaultDeny kan vara ett effektivt skydd mot avancerade långvariga hot.

För mer information om NetTraveler besök www.securelist.com.

Mediekontakt: Bite, 08-402 01 00, kaspersky@bitepr.se

Om Kaspersky Lab
Kaspersky Lab är världens största privatägda leverantör av klientsäkerhetslösningar. Företaget rankas bland världens fyra främsta leverantörer av säkerhetslösningar för klientanvändare*. Kaspersky Lab har under 15 år varit en innovatör inom IT-säkerhet och förser konsumenter, samt
små och stora företag, med effektiva digitala säkerhetslösningar. Företaget är för nuvarande verksamt i nästan 200 länder och ger skydd åt över 300 miljoner användare över hela världen. Läs mer på www.kaspersky.se.

* Företaget rankades på fjärde plats i IDC:s Worldwide Endpoint Security Revenue by Vendor, 2011. Rankingen publicerades i IDC:s rapport Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, July 2012). Rapporten rangordnar programleverantörer efter försäljningsintäkter från klientsäkerhetslösningar under 2011.