继去年3月份卡巴斯基实验室曝光MiniDuke后门程序后,这一高级持续性威胁活动已有所收敛。然而就在近日,卡巴斯基实验室研究员发现旧版Miniduke植入体仍然存在,并活跃于针对政府与其他组织的攻击活动中。与此同时,专家们也注意到恶意程序Miniduke的新平台BotGenStudio可能不仅为高级持续性威胁攻击者所用,还被执法机构与传统罪犯使用。
据了解,“新型”Miniduke后门程序具有很多功能,包括:键盘记录器、通用网络信息采集器、剪切板捕捉器;Microsoft Outlook和Windows地址簿窃取器;Skype、Google Chrome、Google Talk、Opera、TheBat!、Firefox和Thunderbird密码窃取器;受保护存储区机密采集器和证书/密钥导出器。
与此同时,专家们还发现了Miniduke两个十分特别的功能。该程序会针对所有受害者指定不同的ID,从而将特定的更新推送给某一受害者。另外,由于它所使用的定制装入程序会占用大量CPU资源,Miniduke能够阻止反恶意软件解决方案通过仿真器分析植入体和检测恶意功能。当然,这也加大了专家们分析恶意软件的难度。
根据卡巴斯基实验室专家的分析,目前Miniduke的受害者包括政府机构、外交组织、能源部门、电信运营商、军事承包商以及非法违禁物品交易者。而通过卡巴斯基实验室专家截获的一份受害者名单来看,受到CosmicDuke攻击最为频繁的国家有格鲁吉亚、俄罗斯、美国、英国、哈萨克斯坦、印度、白俄罗斯、塞浦路斯、乌克兰和立陶宛。
目前,卡巴斯基实验室的产品已经检测出了CosmicDuke后门程序,他们分别是Backdoor.Win32.CosmicDuke.gen和Backdoor.Win32.Generic。
