Hoppa till huvudinnehållet

Den skadliga programvaran CosmicDuke (”nya” MiniDuke)

VIRUSDEFINITION

Vad är det?

CosmicDuke upptäcktes 2014 och använder gammaldags Miniduke-implantat från 2013 som fortfarande finns och används i aktiva attacker som riktar in sig på myndigheter och andra organisationer. Efter 2013 års exponering började aktören bakom Miniduke att använda en annan anpassad bakdörr. Den främsta ”nya” Miniduke-bakdörren (även TinyBaron eller CosmicDuke) kan stjäla olika typer av information.

Trots att Miniduke APT-aktören stoppade sina attacker, eller åtminstone minskade intensiteten, i början av 2014 återupptog de attackerna med full kraft i början av 2014. Den här gången har vi lagt märke till förändringar i hur angriparna agerar och vilka verktyg de använder.

Detaljer

Den främsta ”nya” Miniduke-bakdörren (även TinyBaron eller CosmicDuke) är sammanställd av ett anpassningsbart ramverk som heter BotGenStudio, som har möjlighet att aktivera eller inaktivera komponenter när boten konstrueras.

Komponenterna kan delas in i tre grupper:

  • Beständighet – Miniduke/CosmicDuke kan starta via Windows Task Scheduler
  • Rekognoscering – Den skadliga programvaran kan stjäla en mängd information, inklusive filer baserat på filtillägg och filnamnsnyckelord, t.ex. *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp. osv.
  • Exfiltrering – Den skadliga programvaran implementerar ett flertal nätverksanslutningspunkter för att exfiltrera data, bland annat genom att ladda upp data via FTP och tre varianter av HTTP-kommunikation.

Hur vet jag om jag har drabbats?

Kaspersky Labs produkter upptäcker CosmicDuke bakdörrar som Backdoor.Win32.CosmicDuke.gen och Backdoor.Win32.Generic. Om du redan har en Kaspersky-produkt bör den skadliga programvaran CosmicDuke redan ha upptäckts. Om du inte redan har en Kaspersky-produkt installerad behöver du hämta och installera någon av Kasperskys antivirusprodukter och köra programvaran.

Den skadliga programvaran CosmicDuke (”nya” MiniDuke)

Vad är den skadliga programvaran CosmicDuke, hur fungerar den och har dina enheter smittats? Läs mer här.
Kaspersky logo

Utvalda inlägg