VIRUSDEFINITION

Vad är det?

CosmicDuke upptäcktes 2014 och använder gammaldags Miniduke-implantat från 2013 som fortfarande finns och används i aktiva attacker som riktar in sig på myndigheter och andra organisationer. Efter 2013 års exponering började aktören bakom Miniduke att använda en annan anpassad bakdörr. Den främsta ”nya” Miniduke-bakdörren (även TinyBaron eller CosmicDuke) kan stjäla olika typer av information.

Trots att Miniduke APT-aktören stoppade sina attacker, eller åtminstone minskade intensiteten, i början av 2014 återupptog de attackerna med full kraft i början av 2014. Den här gången har vi lagt märke till förändringar i hur angriparna agerar och vilka verktyg de använder.

Detaljer

Den främsta ”nya” Miniduke-bakdörren (även TinyBaron eller CosmicDuke) är sammanställd av ett anpassningsbart ramverk som heter BotGenStudio, som har möjlighet att aktivera eller inaktivera komponenter när boten konstrueras.

Komponenterna kan delas in i tre grupper:

  • Beständighet – Miniduke/CosmicDuke kan starta via Windows Task Scheduler
  • Rekognoscering – Den skadliga programvaran kan stjäla en mängd information, inklusive filer baserat på filtillägg och filnamnsnyckelord, t.ex. *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *jpg; *.txt; *.lnk; *.dll; *.tmp. osv.
  • Exfiltrering – Den skadliga programvaran implementerar ett flertal nätverksanslutningspunkter för att exfiltrera data, bland annat genom att ladda upp data via FTP och tre varianter av HTTP-kommunikation.

Hur vet jag om jag har drabbats?

Kaspersky Labs produkter upptäcker CosmicDuke bakdörrar som Backdoor.Win32.CosmicDuke.gen och Backdoor.Win32.Generic. Om du redan har en Kaspersky-produkt bör den skadliga programvaran CosmicDuke redan ha upptäckts. Om du inte redan har en Kaspersky-produkt installerad behöver du hämta och installera någon av Kasperskys antivirusprodukteroch köra programvaran.

Vi använder cookies för att förbättra din upplevelse av våra webbplatser. Genom att använda och fortsätta navigera på den här webbplatsen godkänner du detta. Om du vill ha mer information om användning av cookies på den här webbplatsen klickar du på Mer information.

Godkänn och stäng