CosmicDuke-malware (den "nye" MiniDuke)

VIRUSDEFINITION

Hvad er det?

CosmicDuke, der blev opdaget i 2014, bruger gammeldags MiniDuke-implantater fra 2013, som stadig findes derude, og som bruges i aktive kampagner, der er rettet mod regeringer og andre organer. Efter eksponeringen i 2013 begyndte aktøren bag MiniDuke at bruge en anden brugerdefineret bagdør. Den primære "nye" MiniDuke-bagdør (også kaldet TinyBaron eller CosmicDuke) er i stand til at stjæle forskellige typer oplysninger.

Selv om MiniDuke APT-aktøren standsede sin kampagne, eller i det mindste formindskede sin intensitet, blev angrebet genoptaget for fuld kraft i starten af 2014. Denne gang bemærkede vi ændringer i måden, angriberne agerede, og de anvendte værktøjer.

Detaljer

Den primære "nye" MiniDuke-bagdør (også kaldet TinyBaron eller CosmicDuke) er sammensat ved hjælp af et tilpasningsdygtigt framework, der kaldes BotGenStudio, og som har fleksibilitet til at aktivere eller deaktivere komponenter, når botten er konstrueret.

Komponenterne kan opdeles i 3 grupper:

• Vedholdenhed – MiniDuke/CosmicDuke er i stand til at starte via Windows Task Scheduler
• Rekognoscering – malwaren er i stand til at stjæle en række oplysninger, herunder filer, der er baseret på filtypenavne og nøgleord for filnavne, for eksempel *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp. osv.
• Udfiltrering – malwaren implementerer flere netværksstik til udfiltrering af data, herunder upload af data via FTP og tre forskellige varianter af HTTP-kommunikationsmekanismer.

Hvordan ved jeg, om mit system er inficeret?

Kaspersky Labs produkter registrerer CosmicDuke-bagdøren som Backdoor.Win32.CosmicDuke.gen og Backdoor.Win32.Generic. Hvis du allerede har et produkt fra Kaspersky, burde CosmicDuke-malwaren allerede være registreret. Hvis du ikke allerede har et produkt fra Kaspersky installeret, skal du downloade og installere et af Kasperskys antivirusprodukter og køre softwaren.