Groźny Miniduke atakuje - jest się czego bać?

[Dark Messiah 24285]

 

Badacze z Kaspersky Lab odkryli, ??e szkodliwe programy dzia??ajÄ?ce w ramach starej akcji cyberszpiegowskiej Miniduke z 2013 r. sÄ? ciÄ?gle wykorzystywane w kampaniach wycelowanych w rzÄ?dy i inne organizacje. Ponadto, nowa platforma Miniduke'a, BotGenStudio, mo??e byÄ? wykorzystywana nie tylko do przeprowadzania zaawansowanych d??ugotrwa??ych atak??w (APT), ale tak??e przez organy ??cigania i tradycyjnych przestÄ?pc??w.

Mimo ??e osoby stojÄ?ce za pierwotnÄ? kampaniÄ? Miniduke zaprzesta??y swojej dzia??alno??ci lub przynajmniej w znacznym stopniu zmniejszy??y jej intensywno??Ä?, badanie przeprowadzone przez Kaspersky Lab oraz CrySyS Lab na poczÄ?tku tego roku wykaza??o, ??e ta grupa cyberprzestÄ?pc??w zn??w aktywnie dzia??a. Tym razem jednak eksperci zauwa??yli zmiany w podej??ciu i narzÄ?dziach wykorzystywanych przez atakujÄ?cych.

"Nowy" backdoor Miniduke'a

 

Po ujawnieniu Minidukeâ??a przez Kaspersky Lab w 2013 r., stojÄ?ce za nim osoby zaczÄ???y u??ywaÄ? backdoora w??asnej produkcji, kt??ry potrafi?? kra??Ä? r????ne rodzaje informacji. Ten szkodliwy program podszywa?? siÄ? pod popularne aplikacje, z natury dzia??ajÄ?ce w tle, i robi?? to bardzo skutecznie â?? imitowa?? ikony, nazwy a nawet rozmiary plik??w.

G????wny kod â?žnowegoâ? backdoora Minidukeâ??a (znanego tak??e pod nazwami TinyBaron oraz CosmicDuke) powsta?? przy u??yciu narzÄ?dzia zwanego BotGenStudio, kt??re pozwala na pe??ne dostosowanie modu????w dzia??ajÄ?cych w szkodliwym programie. Komponenty te mo??na podzieliÄ? na trzy grupy:

 

1. Uruchamianie - Miniduke/CosmicDuke mo??e wykorzystywaÄ? mened??era zada?? systemu Windows do uruchamiania specjalnego narzÄ?dzia, kt??re dodaje proces szkodnika do rejestru systemowego. Zagro??enie mo??e byÄ? tak??e aktywowane, gdy u??ytkownika nie ma przy komputerze - wraz z uruchomieniem wygaszacza ekranu.

2. Rekonesans - szkodliwy program potrafi kra??Ä? szereg informacji, ??Ä?cznie z plikami o okre??lonych rozszerzeniach i s??owach kluczowych, takich jak: *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *psw*; *pass*; *login*; *admin*; *vpn; *.jpg; *.txt; *.lnk; *.dll; *.tmp. itd. Backdoor posiada wiele funkcji, ??Ä?cznie z przechwytywaniem znak??w wprowadzanych z klawiatury (keylogger), gromadzeniem og??lnych informacji o sieci, w kt??rej dzia??a zainfekowana maszyna, przechwytywaniem zawarto??ci ekranu, wyciÄ?ganiem informacji ze schowka i ksiÄ???ek adresowych (Windows oraz Microsoft Outlook), kradzie??Ä? hase?? z komunikatora Skype i innych narzÄ?dzi (Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird), przeglÄ?daniem zawarto??ci certyfikat??w i kluczy prywatnych itd.

3. Ciche wyprowadzenie danych â?? szkodnik otwiera kilka po??Ä?cze?? sieciowych, by ukradkowo wys??aÄ? wszystkie wykradzione informacje. Wykorzystywane sÄ? zar??wno po??Ä?czenia FTP, jak i HTTP.

KolejnÄ? interesujÄ?cÄ? cechÄ? nowego zagro??enia jest spos??b, w jaki przechowywane sÄ? skradzione dane. Ka??dy plik przesy??any do serwera kontrolowanego przez cyberprzestÄ?pc??w jest dzielony na ma??e fragmenty (o rozmiarze oko??o 3 KB ka??dy), kt??re z kolei sÄ? kompresowane, szyfrowane i umieszczane w specjalnym kontenerze. Je??eli plik jest bardzo du??y, mo??e zostaÄ? umieszczony w kilku takich kontenerach, kt??re sÄ? kolejno wysy??ane do atakujÄ?cych. Te dodatkowe mechanizmy ochrony transmisji danych sprawi??y, ??e niewielu badaczy jest w stanie dotrzeÄ? do oryginalnych danych.

Unikatowe funkcje szkodliwego programu

 

Ka??da ofiara CosmicDukeâ??a otrzymuje unikatowy identyfikator, pozwalajÄ?cy cyberprzestÄ?pcom na wysy??anie spersonalizowanych aktualizacji szkodliwego programu. Aby chroniÄ? siÄ? przed wykryciem, wykorzystuje zaawansowane metody utrudniajÄ?ce analizÄ? kodu przeprowadzanÄ? przez oprogramowanie antywirusowe.