Den skadliga programvaran CosmicDuke (”nya” MiniDuke)

VIRUSDEFINITION

Vad är det?

CosmicDuke upptäcktes 2014 och använder gammaldags Miniduke-implantat från 2013 som fortfarande finns och används i aktiva attacker som riktar in sig på myndigheter och andra organisationer. Efter 2013 års exponering började aktören bakom Miniduke att använda en annan anpassad bakdörr. Den främsta ”nya” Miniduke-bakdörren (även TinyBaron eller CosmicDuke) kan stjäla olika typer av information.

Trots att Miniduke APT-aktören stoppade sina attacker, eller åtminstone minskade intensiteten, i början av 2014 återupptog de attackerna med full kraft i början av 2014. Den här gången har vi lagt märke till förändringar i hur angriparna agerar och vilka verktyg de använder.

Detaljer

Den främsta ”nya” Miniduke-bakdörren (även TinyBaron eller CosmicDuke) är sammanställd av ett anpassningsbart ramverk som heter BotGenStudio, som har möjlighet att aktivera eller inaktivera komponenter när boten konstrueras.

Komponenterna kan delas in i tre grupper:

• Beständighet – Miniduke/CosmicDuke kan starta via Windows Task Scheduler
• Rekognoscering – Den skadliga programvaran kan stjäla en mängd information, inklusive filer baserat på filtillägg och filnamnsnyckelord, t.ex. *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp. osv.
• Exfiltrering – Den skadliga programvaran implementerar ett flertal nätverksanslutningspunkter för att exfiltrera data, bland annat genom att ladda upp data via FTP och tre varianter av HTTP-kommunikation.

Hur vet jag om jag har drabbats?

Kaspersky Labs produkter upptäcker CosmicDuke bakdörrar som Backdoor.Win32.CosmicDuke.gen och Backdoor.Win32.Generic. Om du redan har en Kaspersky-produkt bör den skadliga programvaran CosmicDuke redan ha upptäckts. Om du inte redan har en Kaspersky-produkt installerad behöver du hämta och installera någon av Kasperskys antivirusprodukter och köra programvaran.