Otkriven novi malver MiniDuke korišćen u napadima na evropske organizacije

Opisi virusa, 28.02.2013, 07:59 AM

Otkriven novi malver MiniDuke korišćen u napadima na evropske organizacije

Stručnjaci ruske kompanije Kaspersky Lab i mađarske Laboratorije za kriptografju i bezbednost sistema CrySys Univerziteta za tehnologiju i ekonomiju u Budimpešti, otkrili su novi malver nazvan MiniDuke koji je tokom prošle nedelje korišćen u napadima na institucije, organizacije i privatne kompanije širom sveta.

Pažljivo birane mete među kojima se nalaze državne institucije Ukrajine, Belgije, Rumunije, Češke, Irske i drugih zemalja, instituti za istraživanja i jedna neimenovana američka zdravstvena organizacija dobijale su email poruke koje su sadržale PDF fajlove opremljene nedavno otkrivenim exploit-om za Adobe Reader 9, 10 i 11. Isti exploit, sposoban da zaobiđe sandbox zaštitu u Adobe Reader-u 10 i 11, koga otkrili stručnjaci firme FireEye ranije ovog meseca, aktivno je korišćen u napadima pa je Adbe 20. februara objavio zakrpe za ranjivosti koje koristi exploit.

U napadima malverom MiniDuke korišćen je isti exploit koga su otkrili stručnjaci FireEye-a, ali sa nekim izmenama, što može značiti da su napadači imali pristup programskom alatu koji je korišćen za razvoj originalnog exploit-a.

PDF fajlovi koji su stizali na email adrese žrtava su lažne kopije izveštaja sa sadržajem koji je relevantan za napadnute organizacije.

„Ovo je veoma neuobičajen sajber napad“, kaže Jevgenij Kasperski, direktor Kaspersky Lab-a. On kaže da se seća tog stila zlonamernog programiranja s kraja devedesetih i početka prošle decenije. Kasperski smatra da je moguće da su pisci ove vrste malvera hibernirali više od decenije da bi se iznenada probudili i pridružili današnjim autorima kompleksnih malvera. Reč je o eliti iz „stare škole“ pisanja malvera koja je bila vrlo efikasna u prošlosti i koja sada kombinuje svoja umeća sa novim naprednim exploit-ima koji zaobilaze sandbox zaštitu, smatra Kasperski.

MiniDuke je backdoor, koji sadrži 20KB veliki downloader. On je sposoban da izbegne detekciju od strane antivirusa, što ukazuje na to da njegovi autori tačno znaju kako stručnjaci iz oblasti antivirusne zaštite otkrivaju i analiziraju malvere.

Malver instaliran tokom prve faze napada se povezivao sa određenim Twitter nalozima koji su sadržali enkrptovane komande koje ukazuju na četiri web sajta koji su korišćeni kao serveri za komandu i kontrolu (C&C serveri). Ovi web sajtovi hostovani su u SAD, Nemačkoj, Francuskoj i Švajcarskoj, i na njima se nalaze GIF fajlovi koji sadrže drugi backdoor program koji ažurira prvi backdoor i povezuje se sa serverima za komandu i kontrolu kako bi preuzeo još jedan backdoor program koji je jedinstven za svku žrtvu. C&C serveri koji hostuju pet različitih backdoor programa za pet različitih žrtava otkriveni su u Portugaliji, Ukrajini, Nemačkoj i Belgiji. Ovi jedinstveni backdoor programi se povezuju sa različitim C&C serverima u Panami i Turskoj, i omogućavaju napadačima da pokrenu komande na zaraženim sistemima.

Oni koji stoje iza ove špijunske operacije aktivni su još od aprila prošle godine, kada je registrovan prvi njihov Twitter nalog. Moguće je da je njihova aktivnost bila suptilna pa tako i manje primetna sve do nedavno, kada su odlučili da iskoriste novi Adobe Reader exploit kako bi napali što veći broj organizacija pre nego što ranjivosti budu zakrpljene. Moguće je takođe i da je grupa i ranije delovala, ali da je koristila druge malvere.

Žrtve malvera MiniDuke su organizacije u Belgiji, Brazilu, Bugarskoj, Češkoj, Gruziji, Nemačkoj, Mađarskoj, Irskoj, Japanu, Letoniji, Libanonu, Litvaniji, Crnoj Gori, Portugliji, Rumuniji, Rusiji, Sloveniji, Španiji, Turskoj, Ukrajini, Velikoj Britaniji i SAD.

Napadi na ove organizacije nisu tako sofisticirani kao oni koje smo videli u slučaju malvera Flame i Stuxnet, ali se i ovde radi o ciljanim napadima sa pažljivo biranim žrtvama.

Nema naznaka ko bi mogao biti odgovoran za ove napade i za čije interese su oni izvođeni.

Vesti o novoj sajber špijunskoj operaciji sa malverom MiniDuke u glavnoj ulozi dolaze u trenutku kada se ponovo raspravlja o Kini kao o državi koja je odgovorna za sajber špijunažu u SAD. Nedavno je američka firme Mandiant objavila izveštaj koji se bavi višegodišnjim delovanjem kineske hakerke grupe koja se dovodi u vezu sa kineskom vojskom. Kineske vlasti uporno odbacuju ove optužbe, ali je izveštaj Mandiant-a ipak dobio ogromnu medisjku pažnju.

U Kaspersky Lab-u kažu da među žrtvama malvera MiniDuke za sada nema organizacija iz Kine, ali niko u kompaniji nije želeo da komentariše da li bi ta činjenica mogla da ima neko značenje.

Prošle nedelje, pomenuti izveštaj Mandiant-a iskorišćen je kao mamac u spear-phishing napadima u kojima se na računarima žrtava instalirao malver koji sasvim izvesno potiče iz Kine. Međutim, ti napadi su neuporedivi sa napadima malvera Duke u pogledu sofisticiranosti.

Više o svemu ovome možete saznati na blogovima Kaspersky Lab-a i CrySys-a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje