Malware-ul emuleaza aplicatii populare care sunt construite pentru a rula in fundal, imitand inclusiv icon-urile si dimensiunile fisierelor

Troianul MiniDuke, descoperit de cercetatorii Kaspersky in 2013 si care a atacat si institutiile guvernamentale din Romania, este in continuare activ si este utilizat in campanii noi, care vizeaza atat agentii guvernamentale cat si alte institutii. Noua platforma MiniDuke – BotGenStudio – ar putea fi folosita si de organismele de aplicare a legii, sau de catre infractori, anunta Kaspersky intr-un comunicat de presa.

Desi actorul din spatele MiniDuke APT si-a oprit campania sau cel putin i-a diminuat activitatea in urma anunțului facut de Kaspersky Lab impreuna cu partenerul sau CrySyS Lab anul trecut, la inceputul anului 2014 acesta a reinceput atacurile in forta. De aceasta data, expertii Kaspersky Lab au observat modificari in modul de atac si in ceea ce priveşte instrumentele utilizate.

Dupa expunerea din anul 2013, actorul din spatele MiniDuke a inceput sa utilizeze un alt troian, capabil sa sustraga mai multe tipuri de informatii. 

Caracteristici unice

„Noul” MiniDuke (cunoscut si ca “TinyBaron” sau “CosmicDuke”) este compilat cu un framework personalizabil, numit BotGenStudio. Acesta este foarte flexibil şi are o arhitectura modulara. Malware-ul este capabil sa sustraga o varietate de informatii, cum ar fi date generale despre retea, capturi de ecran, date din clipboard, date din Microsoft Outlook si Windows Address Book, parole din Skype, Google Chrome, Google Talk, Opera, The Bat!, Firefox, Thunderbird, informatii din Protected Storage, Certificate/chei private si parole introduse prin tastatura.

Stocarea datelor sustrase este o alta caracteristica interesanta a MiniDuke. Cand un fisier este incarcat pe server-ul de comanda si control, acesta este impartit in mai multe segmente de mici dimensiuni (~3kb), care sunt comprimate, criptate si introduse intr-un container, pentru a fi plasate pe server. Daca fisierul este suficient de mare, acesta poate fi plasat in mai multe containere care sunt incarcate independent. Aceste procesari aditionale garanteaza ca foarte putini analisti vor fi capabili sa ajunga la informatiile originale.

Fiecare victima a MiniDuke primeste o identitate unica - identitate care permite atacatorilor sa trimita actualizari personalizate si sa mentina tot timpul o baza de date cu ce informatii au fost extrase, de la cine si cand. Pentru a se proteja, MiniDuke utilizeaza un program de compresie care foloseste intensiv resursele CPU-ului inainte de a executa codul malitios. Astfel, se impiedica analiza implantului si detectarea fisierelor periculoase de catre solutiile antimalware care folosesc un emulator. De asemenea, acest lucru face mai dificila analiza malware-ului.

Serverele de control şi comanda cu dubla utilitate

In timpul analizei, expertii Kaspersky Lab au reusit sa obtina o copie a unui server de comanda si control al CosmicDuke. Se pare ca acesta nu era utilizat doar pentru comunicarea dintre persoanele aflate in spatele CosmicDuke si PC-urile infectate, dar si pentru alte operatiuni ale membrilor precum accesarea unor alte servere de pe Internet cu scopul de a colecta informatii care pot conduce la noi potentiale tinte. Server-ul de comanda si control identificat continea si o serie de  instrumente publice de hacking pentru a cauta vulnerabilitatile site-urilor si pentru a le compromite.

Victimele 

In timp ce implanturile anterioare MiniDuke vizau mai ales entitati guvernamentale, implanturile noi CosmicDuke urmaresc si alte tipuri de victime. Pe langa agentiile guvernamentale, se afla si organizatiile diplomatice, sectorul de energie, operatorii telecom, furnizorii de armament precum si persoanele implicate in traficul si vanzarea de substante ilegale si cu distributie controlata. 

Expertii Kaspersky Lab au analizat atat serverele CosmicDuke cat si MiniDuke. Din acestea din urma, specialistii Kaspersky Lab au reusit sa extraga o lista de victime si tarile lor de origine si au descoperit ca utilizatorii serverelor vechiului MiniDuke tinteau entitati din Australia, Belgia, Franta, Germania, Ungaria, Olanda, Spania, Ucraina şi SUA. Victimele din cel putin trei dintre aceste tari fac parte din sectorul guvernamental. 

Unul dintre serverele CosmicDuke analizate continea o lista mai lunga de victime (139 de IP-uri unice) incepand cu aprilie 2012. Cele mai multe victime erau localizate in Georgia, Rusia, SUA, Marea Britanie, Kazakhstan, India, Belarus, Cipru, Ucraina, Lituania. Atacatorii erau interesati şi de expansiunea operatiunilor si scanau IP-uri din Republica Azerbaidjan, Grecia si Ucraina.

Platforma comerciala 

Cele mai neobisnuite victime descoperite au fost indivizi care pareau a fi implicati in traficul si revanzarea substantelor ilegale si cu distributie controlata, precum steroizi si hormoni. Aceste victime au fost descoperite doar in Rusia. 

„Este putin neasteptat – in mod normal, atunci cand auzim de APT, ne gandim ca sunt campanii de spoinaj cibernetic susţinute de diferite state,” afirma Vitaly Kamluk, Principal Security Researcher la Global Research & Analysis Team din cadrul Kaspersky Lab. „Dar putem gasi doua explicatii pentru aceasta situaţie. O posibilitate este faptul ca platforma malware BotGenStudio utilizata de MiniDuke este folosita si ca instrument de spyware legal, precum RCS al HackingTeam, utilizat de organismele de aplicare a legii. O alta posibilitate este faptul ca aceasta platforma este disponibila pe canale neoficiale si poate fi achizitionata de mai multi competitori din industria farmaceutica pentru a se spiona reciproc”, incheie Vitaly Kamluk.

Detectarea

Produsele Kaspersky Lab detecteaza CosmicDuke backdoor ca Backdoor.Win32.CosmicDuke.gen si Backdoor.Win32.Generic.

Pentru mai multe informatii, accesati blog-ul Kaspersky Lab la Securelist.com.

Share articol: