2013年2月12日,国外著名安全公司FireEye宣布发现一个新的PDF 0DAY,而在近日,卡巴斯基发布报告称,上周发现欧洲一系列政府和私人机构网站遭到攻击,并在网站上嵌入利用该PDF 0DAY的恶意软件,该恶意软件被命名为MiniDuke。
卡巴斯基实验室与CrySyS实验室联合发布了针对该攻击的详细分析,简要过程如下:
攻击者在攻击过程中,使用了非常有效到位的社会工程技术,他们会向目标发送恶意的PDF文件,文件都是经过精心设计,能吸引人眼球的内容。如ASEM与乌克兰的外交政策、加入北约的计划等,如下图:
一旦用户打开了这些PDF文件,就会从网络下载一个只有20K左右大小的木马到计算机上,该木马是用汇编语言编写,并且通讯经过加密处理。
如果目标系统满足攻击者预的需求,如属于政府、私人机构,则在用户不知情的情况下盗取被感染者Twitter账户。如果Twitter无法使用或者账号已经被删除,该恶意软件还可以通过google搜索,然后通过社交网络再次进行传播。如下图:
攻击者还将一个权限较大的后门隐藏在一个GIF文件内,如下图:
当该后门下载到用户机器上,攻击者就可以远程攻击用户机器,如复制文件、删除文件、杀进程等,通过分析发现,后门会连接到巴拿马和土耳其的两台服务器。
目前受影响的用户遍布23个国家,如下:
比利时,巴西,保加利亚,捷克共和国,格鲁吉亚,德国,匈牙利,爱尔兰,以色列,日本,拉脱维亚,黎巴嫩,立陶宛,黑山,葡萄牙,罗马尼亚,俄罗斯联邦,斯洛文尼亚,西班牙,土耳其,乌克兰,英国和美国。
