La semana pasada hemos visto ataques en curso se aprovecha la vulnerabilidad de Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 que salió a la luz después de que el Consejo de Relaciones Exteriores en el sitio web fue hackeado y se aloja el código. Symantec ha vinculado hazañas al grupo responsable de una serie de recientes ataques de espionaje Apodado el “Elderwood proyect “.
Pero que es ElderWood Project?
Symantec lleva una serie de investigaciones a un Grupo elite de Hackers que desde el 2009 Sus azañas han sido Realmente! Sorprendente.
Symantec Dice: “Hemos estado monitoreando las actividades del grupo atacante durante los últimos tres años, ya que siempre ha dirigido una serie de industrias. Estos atacantes han utilizado un gran número de ataques de día cero contra no sólo la organización de destino deseado, sino también de los fabricantes de la cadena de suministro que el servicio de la compañía en sus líneas cruzadas. Estos atacantes son sistemáticos y reutilización de componentes de una infraestructura que hemos llamado la “Plataforma Elderwood”. El término “Elderwood” viene de la comunicación exploit utilizado en algunos de los ataques. Esta plataforma de ataque que les permite desplegar rápidamente ataques de día cero. La metodología atacando siempre ha utilizado correos electrónicos de phishing de lanza pero ahora estamos viendo una creciente adopción de “abrevadero” ataques comprometer ciertos sitios web”
Graves vulnerabilidades de día cero, que son explotadas en la naturaleza y afectan a una pieza de software ampliamente utilizado.
En los últimos meses se ha visto sin embargo estas cuatrovulnerabilidades de día cero utilizadas por los atacantes Elderwood.
Estos son algunos de los exploits reciente:
Éstas son sólo algunas de las hazañas más recientes que han utilizado:
• Adobe Flash Object Tipo de reproductor Confusión ejecución remota de código vulnerabilidad (CVE-2012-0779)
• Microsoft Internet Explorer misma propiedad ID vulnerabilidad de ejecución remota de código (CVE-2012-1875)
• Microsoft XML Core Services ejecución remota de código vulnerabilidad (CVE-2012-1889)
• Adobe Flash Player ejecución remota de código vulnerabilidad (CVE-2012-1535)
Sin mencionar el 0day de Internet explorer 6,7,8 descuebierta el 30 de Diciembre del 2012
Para descubrir estas vulnerabilidades, una gran empresa la que correspondería a los atacantes a fondo la ingeniería inversa de las aplicaciones compiladas. Este esfuerzo se reduciría sustancialmente si tuvieran acceso al código fuente. El grupo aparentemente tiene un suministro ilimitado de vulnerabilidades de día cero. ”
Al parecer este grupo es Del la republica de China, y cuenta con gran varios equipos de trabajo. la cual unos se dedican solo a encontrar vulneabilidades en los sistemas ( Creacion de 0day ) y otros a su explotacion y recopilacion de informacion del atacante.
en recientes investigaciones de Symantec se han encontrado 3 Vulneabiliades de dia Zero, en un mismo sitio.
3 Zero Day en un mismo sitio.
Queda claro que los ataques recientes an sido de ElderWood Project y que para el 2013 se esperaran mas ataques de dicho grupo.
En la pagina de Symantec http://www.symantec.com/connect/blogs/elderwood-project-behind-latest-internet-explorer-zero-day-vulnerability
Acerca de Mi Dylan Irzi
Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com
