Новый бэкдор CosmicDuke – гибрид Cosmu и MiniDuke


<p> Бэкдор известный как MiniDuke был выявлен в феврале 2013 года, в ходе детектирования серии атак на американские и европейские госучреждения. При анализе MiniDuke в апреле 2014 было установлено, что загрузчик, аналогичный используемому в MiniDuke третьего поколения, используется и в зловредах семейства Cosmu. Любопытно, что, основываясь на данных временных меток, именно Cosmu, а вовсе не MiniDuke первоначально использовал упомянутый загрузчик. Кроме того, было обнаружено, что загрузчик был обновлен в некоторый момент времени, и оба семейства зловредов тут же стали использовать обновленную версию. Ввиду того, что новый зловред использует загрузчик из MiniDuke и остальной код из Cosmu, гибрид решено было назвать CosmicDuke. </p>

<p> Имена файлов и информация для заманивания жертв содержит прямые или косвенные отсылки к таким странам, как Украина, Польша, Турция и Россия. Такие выводы сделаны либо на основе использованного языка, либо на основе намеков на события, на лиц или на организации, содержащиеся в файлах. Имена файлов и контент выглядят, как выбранные с учетом интересов предполагаемых жертв, хотя нет никакой дополнительной информации, позволяющей судить о личностях или местонахождении других предполагаемых жертв. </p>

<p> Работа CosmicDuke начинается после открытия жертвой специального PDF файла, содержащего эксплойт. Имя такого файла стараются замаскировать под обычный документ или, например, под файл изображения. Нередко имена таких файлов сами по себе служат приманкой для пользователя. Например, одно из маскировочных названий звучало как Ukraine-Gas-Pipelines-Security-Report-March-2014.pdf. </p>

<p> Как только жертва открывает вредоносный файл, CosmicDuke начинает сбор сведений. Зловред имеет в своем составе кейлоггер, считыватель информации из буфера обмена, ПО с возможностью делать скриншоты, похитители паролей для различных популярных чатов и электронной почты. CosmicDuke также собирает информацию о файлах в системе и имеет возможность экспортировать криптографические сертификаты и связанные с ними закрытые ключи. </p>

<p> После того, как сбор информации окончен, она отправляется на удаленные сервера через FTP. В дополнение к краже информации из системы, CosmicDuke позволяет злоумышленнику загрузить и выполнить другие эксплоиты в системе. </p>

Возврат к списку