Лаборатория Касперского: MiniDuke - новый инструмент для кибершпионажа


KasperskyLabsСпециалисты Лаборатории Касперского провели исследование ряда инцидентов, произошедших на прошлой неделе и связанных с очередным примером кибершпионажа против правительственных учреждений и научных организаций по всему миру. В ходе атаки злоумышленники применили сложные вредоносные коды "старой школы" вирусописательства и новых продвинутых технологий использования уязвимостей в Adobe Reader.

Бэкдор MiniDuke - вредоносная программа, написанная на Ассемблере, и имеющая размер в 20 Кб, распространяется при помощи недавно обнаруженного эксплойта для Adobe Reader (CVE-2013-6040).

Среди жертв данной вредоносной программы оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии. Также от действий киберпреступников пострадали исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США, а также исследовательский фонд в Венгрии.

Подобный стиль программирования в вредоносном ПО, как в MiniDuke, использовался в конце 1990-х-начале 2000-х. Получается, что элитные писатели вредоносных программ старой закалки, успешные в создании сложных вирусов сейчас, совмещают свои способности с новыми методами ухода от защитных технологий для того, чтобы атаковать государственные учреждения и научные организации в разных странах.

Последний раз данная вредоносная программа была модифицирована 20 февраля 2013 года. Для проникновения в системы жертв киберпреступники использовали эффективные приёмы социальной инженерии, с помощью которых рассылали вредоносные PDF-документы. Эти документы представляли собой актуальный и хорошо подобранный набор сфабрикованного контента. Т.е., они содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. Все эти документы содержали эксплойты, атакующие 9, 10 и 11 версии программы Adobe Reader. Для создания этих эксплойтов был использован тот же инструментарий, что и при недавних атаках. Однако в составе MiniDuke эти эксплойты использовались для других целей и содержали собственный вредоносный код.

При заражении системы на диск жертвы попадал небольшой загрузчик размером в 20 Кб. Он уникален для каждой системы и содержит бэкдор, написанный на Ассемблере. MiniDuke умеет ускользать от инструментов анализа системы, встроенных в некоторые среды, в частности в VMWare. В случае обнаружения одного из них бэкдор приостанавливал свою деятельность с тем, чтобы скрыть своё присутствие в системе. Это говорит о том, что авторы вредоносной программы имеют четкое представление о том методах работы антивирусных компаний.


Обновлено (27.02.2013 21:37)