CosmicDuke upptäcktes 2014 och använder gammaldags Miniduke-implantat från 2013 som fortfarande finns och används i aktiva attacker som riktar in sig på myndigheter och andra organisationer. Efter 2013 års exponering började aktören bakom Miniduke att använda en annan anpassad bakdörr. Den främsta ”nya” Miniduke-bakdörren (även TinyBaron eller CosmicDuke) kan stjäla olika typer av information.
Trots att Miniduke APT-aktören stoppade sina attacker, eller åtminstone minskade intensiteten, i början av 2014 återupptog de attackerna med full kraft i början av 2014. Den här gången har vi lagt märke till förändringar i hur angriparna agerar och vilka verktyg de använder.
Den främsta ”nya” Miniduke-bakdörren (även TinyBaron eller CosmicDuke) är sammanställd av ett anpassningsbart ramverk som heter BotGenStudio, som har möjlighet att aktivera eller inaktivera komponenter när boten konstrueras.
Komponenterna kan delas in i tre grupper:
Kaspersky Labs produkter upptäcker CosmicDuke bakdörrar som Backdoor.Win32.CosmicDuke.gen och Backdoor.Win32.Generic. Om du redan har en Kaspersky-produkt bör den skadliga programvaran CosmicDuke redan ha upptäckts. Om du inte redan har en Kaspersky-produkt installerad behöver du hämta och installera någon av Kasperskys antivirusprodukter och köra programvaran.