|
 |
Новости
|
|
28 февраля 2013 г
MiniDuke – новая вредоносная программа для кибершпионажа в государственных структурах по всему миру
«Лаборатория Касперского» опубликовала отчет securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_0x29A_Micro_Backdoor об исследовании ряда инцидентов, произошедших на прошлой неделе и связанных с очередным примером кибершпионажа против правительственных учреждений и научных организаций по всему миру. В ходе атаки злоумышленники применили сочетание сложных вредоносных кодов «старой школы» вирусописательства и новых продвинутых технологий при пользовании уязвимостями в Adobe Reader – и все это для того, чтобы получить данные геополитического характера из соответствующих организаций.
Вредоносная программа MiniDuke распространялась при помощи недавно обнаруженного эксплойта для Adobe Reader (CVE-2013-6040). По данным исследования, проведенного «Лабораторией Касперского» совместно с венгерской компанией CrySys Lab, среди жертв кибершпионской программы MiniDuke оказались государственные учреждения Украины, Бельгии, Ирландии, Португалии, Румынии и Чехии. Кроме того, от действий киберпреступников пострадали исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США, а также исследовательский фонд в Венгрии.
В ходе исследования эксперты из «Лаборатории Касперского» пришли к следующим выводам:
1) Авторы MiniDuke до сих пор продолжают свою активность, последний раз они модифицировали вредоносную программу 20 февраля 2013 г. Для проникновения в системы жертв киберпреступники использовали эффективные приемы социальной инженерии, с помощью которых рассылали вредоносные PDF-документы. Эти документы представляли собой актуальный и хорошо подобранный набор сфабрикованного контента. В частности, они содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. Все эти документы содержали эксплойты, атакующие девятую, десятую и одиннадцатую версии программы Adobe Reader. Для создания этих эксплойтов был использован тот же инструментарий, что и при недавних атаках, о которых сообщала компания FireEye. Однако в составе MiniDuke эти эксплойты использовались для других целей и содержали собственный вредоносный код.
2) При заражении системы на диск жертвы попадал небольшой загрузчик, размером всего 20 Кб. Он уникален для каждой системы и содержит бэкдор, написанный на «Ассемблере». Кроме того, он умеет ускользать от инструментов анализа системы, встроенных в некоторые среды, в частности в VMWare. В случае обнаружения одного из них бэкдор приостанавливал свою деятельность с тем, чтобы скрыть свое присутствие в системе. Это говорит о том, что авторы вредоносной программы имеют четкое представление о методах работы антивирусных компаний.
3) Если атакуемая система соответствует заданным требованиям, вредоносная программа будет (втайне от пользователя) использовать Twitter для поиска специальных твитов от заранее созданных аккаунтов. Эти аккаунты были созданы операторами бэкдора MiniDuke, а твиты от них поддерживают специфические теги, маркирующие зашифрованные URL-адреса для бэкдора. Эти URL-адреса предоставляют доступ к серверам управления, которые в свою очередь обеспечивают выполнение команд и установку бэкдоров в зараженной системе через GIF-файлы.
4) По результатам анализа стало известно, что создатели MiniDuke используют динамическую резервную систему коммуникации, которая также может ускользать от антивирусных средств защиты: если Twitter не работает или аккаунты неактивны, вредоносная программа может использовать Google Search для того, чтобы найти зашифрованные ссылки к новым серверам управления.
5) Как только зараженная система устанавливает соединение с сервером управления, она начинает получать зашифрованные бэкдоры через GIF-файлы, которые маскируются под картинки на компьютере жертвы. После загрузки на машину эти бэкдоры могут выполнять несколько базовых действий: копировать, перемещать или удалять файлы, создавать каталоги, останавливать процессы, а также, конечно, загружать и исполнять новые вредоносные программы.
6) Бэкдор выходит на связь с двумя серверами – в Панаме и Турции – для того, чтобы получить инструкции от киберпреступников.
С полной версией отчета от «Лаборатории Касперского» и с рекомендациями по защите от MiniDuke можно ознакомиться на сайте: securelist.com/ru.
 версия для печати
|
SMS
|
|
Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.
|
Смотрите также в рубрике Корпоративные решения
|
|
18 октября 2013 г
• Обновление Kaspersky Security для SharePoint Server
• UserGate Web Filter с глубоким анализом контента
17 октября 2013 г
• Android-троянец скрывается от антивирусов, используя очередную уязвимость
• Седьмая версия продуктов ESET NOD32 Antivirus и ESET Smart Security
16 октября 2013 г
• «Лаборатория Касперского» совершенствует защиту для мобильных устройств
• Autodesk приобретает технологии Graitec по проектированию конструкций
15 октября 2013 г
• Horizon – платформа браузерных расширений для операторов мобильной связи
• Mail.Ru Group празднует 15-летие
14 октября 2013 г
• Canon представит свои IP-камеры на выставке «БЕЗПЕКА 2013»
11 октября 2013 г
• SAP И Samsung объединяют усилия для безопасного развертывания корпоративных систем
• MTV EXIT объявляет конкурс идей ИT-проектов ChallengeSlavery
• Биометрические технологии «Техносерв Украина» – на выставке «БЕЗПЕКА 2013»
10 октября 2013 г
• Ультракомпактные серверы приложений WD Sentinel с функциями сетевого хранилища
• UserGate Proxy & Firewall 6.2 с антивирусным модулем и поддержкой ГОСТ-шифрования
• Fortinet анонсирует сверхбыстрый межсетевой экран для центров обработки данных
• Cisco приобрела компанию Sourcefire
9 октября 2013 г
• Новая модель сотрудничества "Маркета" с интернет-магазинами
• При покупке Visual Studio – минус 10 % и выходные в Европе
• «Лаборатория Касперского» обновила решение для почтовых серверов на Microsoft Exchange
• McAfee предлагает решение для защиты от современных киберугроз
|
