Cercetătorii Kaspersky Lab au anunţat un nou vector de atac al grupării NetTraveler (cunoscută şi ca „Travnet”, „Netfile” sau Red Star APT), o ameninţare de tip Advanced Persistent Threat (APT) care a infectat deja sute de victime foarte importante din 40 de ţări.

Dintre ţintele cunoscute ale NetTraveler fac parte activiştii tibetani/uiguri, companii din industria petrolului, centre şi institute de cercetare, universităţi, companii private, guverne şi instituţii guvernamentale, ambasade şi contractori militari.

Imediat după descoperirea ameninţării în iunie 2013, atacatorii au închis toate sistemele de comandă şi control şi le-au mutat pe alte servere din China, Hong Kong şi Taiwan şi au continuat atacurile.

Pe parcursul ultimelor zile, mai multe e-mail-uri de tip spear-phising au fost trimise către activiştii uiguri. Exploit-ul Java utilizat pentru a distribui acestă nouă variantă Red Star APT, pentru care a fost lansat un patch în iunie 2013, a avut o mai mare rată de succes. Atacurile anterioare utilizaseră exploit-uri Office (CVE-2012-0158), pentru care Microsoft a lansat patch-uri în luna aprilie.

În plus faţă de utilizarea e-mail-urilor de tip spear-phising, operatorii APT au adoptat tehnica „watering hole” (redirecţionări web şi descărcări de tip drive-by pe domenii false) pentru a infecta victimele care navighează pe internet.

De-a lungul lunii trecute, Kaspersky Lab a interceptat şi a blocat un număr de tentative de infecţii de pe domeniul “weststock[dot]org”, care este un site despre care se ştie că a avut legături cu atacurile anterioare ale NetTraveler. Aceste redirecţionări par să vină de la alte site-uri cu legături uigure, care au fost compromise şi infectate de către atacatorii NetTraveler.

Experţii din cadrul echipei globale de cercetare şi analiză a Kaspersky Lab (GReAT) au prognozat că alte exploit-uri mai recen