Miniduke強勢歸來,多國政府受到攻擊
責編:admin |2014-07-08 11:47:23繼去年3月份卡巴斯基實驗室曝光MiniDuke后門程序后,這一高級持續性威脅活動已有所收斂。然而就在近日,卡巴斯基實驗室研究員發現舊版Miniduke植入體仍然存在,并活躍于針對政府與其他組織的攻擊活動中。與此同時,專家們也注意到惡意程序Miniduke的新平臺BotGenStudio可能不僅為高級持續性威脅攻擊者所用,還被執法機構與傳統罪犯使用。
據了解,“新型”Miniduke后門程序具有很多功能,包括:鍵盤記錄器、通用網絡信息采集器、剪切板捕捉器;Microsoft Outlook和Windows地址簿竊取器;Skype、Google Chrome、Google Talk、Opera、TheBat!、Firefox和Thunderbird密碼竊取器;受保護存儲區機密采集器和證書/密鑰導出器。
與此同時,專家們還發現了Miniduke兩個十分特別的功能。該程序會針對所有受害者指定不同的ID,從而將特定的更新推送給某一受害者。另外,由于它所使用的定制裝入程序會占用大量CPU資源,Miniduke能夠阻止反惡意軟件解決方案通過仿真器分析植入體和檢測惡意功能。當然,這也加大了專家們分析惡意軟件的難度。
根據卡巴斯基實驗室專家的分析,目前Miniduke的受害者包括政府機構、外交組織、能源部門、電信運營商、軍事承包商以及非法違禁物品交易者。而通過卡巴斯基實驗室專家截獲的一份受害者名單來看,受到CosmicDuke攻擊最為頻繁的國家有格魯吉亞、俄羅斯、美國、英國、哈薩克斯坦、印度、白俄羅斯、塞浦路斯、烏克蘭和立陶宛。
目前,卡巴斯基實驗室的產品已經檢測出了CosmicDuke后門程序,他們分別是Backdoor.Win32.CosmicDuke.gen和Backdoor.Win32.Generic。