Олдскульный троян для кибершпионажа

«Лаборатория Касперского» опубликовала отчёт (eng) об исследовании ряда инцидентов, произошедших на прошлой неделе и связанных с кибершпионажем против правительственных учреждений и научных организаций по всему миру.

Вредоносная программа MiniDuke распространялась при помощи недавно обнаруженного эксплойта для Adobe Reader (CVE-2013-6040). По данным исследования, проведенного «Лабораторией Касперского» совместно с венгерской компанией CrySys Lab, среди жертв кибершпионской программы MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии. Кроме того, от действий киберпреступников пострадали исследовательский институт, два научно-исследовательскийх центра и медицинское учреждение в США, а также исследовательский фонд в Венгрии.

Авторы MiniDuke до сих пор продолжают свою активность, последний раз они модифицировали вредоносную программу 20 февраля 2013 года. Для проникновения используются приёмы социальной инженерии, с помощью которых рассылаются вредоносные PDF-документы. Эти документы представляли собой актуальный и хорошо подобранный контент. В частности, они содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. Все эти документы содержали эксплойты, атакующие 9, 10 и 11 версии программы Adobe Reader.

При заражении системы устанавливался небольшой загрузчик, размером всего 20 Кб, написанный на Ассемблере. Каждый экземпляр загрузчика шифрует свой код ключом, зависящим от параметров системы, соответственно, если его исполняемый файл перенести на другой компьютер, он не будет работать правильно. Кроме того, расшифровка кода не будет производиться в случае обнаружения запуска в среде виртуальных машин или присутствия некоторых утилит для исследования системы. Канал связи с командными центрами шифруется уникальным ключом.

Для установки связи со своими командными центрами используется Twitter. Он используется для поиска специальных твитов, содержащего специфические тэги, маркирующие зашифрованные URL-адреса.

В качестве резервного способа получения управления (если не получилось через Twitter) может использовать Google Search, посредством которого производится поиск зашифрованных ссылок к командным центрам.

Как только заражённая система устанавливает соединение с сервером управления, она начинает получать зашифрованную полезную нагрузку, которые маскируются под GIF-файлы. После загрузки на машину, полезную нагрузка может выполнять следующие действия: копировать, перемещать или удалять файлы, создавать каталоги, останавливать процессы, загружать и исполнять новые вредоносные программы. Полезная нагрузка также написана на Ассемблере.

Троян для получения команд соединяется с двумя серверами (в Панаме и Турции).

Мнение: оригинал новости с kaspersky.ru в который раз приходится подправлять. Раздражают разнообразные литературные обороты, напрочь искажающие смысл. Например: «бэкдор умеет ускользать от инструментов анализа системы, встроенных в некоторые среды, в частности в VMWare». Лично я в первый раз слышу, что в VMWare встроены инструменты анализа системы. А фраза «бэкдор умеет ускользать» вообще без комментариев. А всего-то нужно было написать, что если бэкдор обнаруживает, что запущен в среде виртуальных машин или присутствуют некоторые утилиты для исследования системы, часть функционала не запускается, что бы затруднить работу сотрудников антивирусных компаний. Что характерно, в английских первоисточниках никаких таких «откровений» нет. Русский вариант статьи на securelist.com, видимо, появиться позднее, пока доступен только английский вариант статьи.

В блоге sporaw высказывается мнение, что микротроян — дело рук одного из членов легендарной киберандеграундной команды 29A.

Реклама
Запись опубликована в рубрике News, Opinion. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s