`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Шпионская сеть MiniDuke атакует правительственные организации по всему миру

28 февраля 2013 г., 14:40
0 
 

Специалисты «Лаборатории Касперского» идентифицировали ряд шпионских атак, которые в течение последних 10 дней поразили 59 компьютеров в госструктурах, исследовательских институтах и научных организациях 23 стран мира, в том числе Украины, Бельгии, Португалии, Румынии, Чехии, Ирландии, США и Венгрии. Это новый пример массовой кампании кибершпионажа, в которой успешно сочетаются сложные вредоносные коды и новые технологии использования уязвимостей в Adobe Reader.

MiniDuke имеет ряд особенностей, затрудняющих анализ, это позволяет предположить, что его авторы отлично осведомлены об особенностях разбора новых образцов вирусов. Кроме того, основной модуль вредоносной программы, MiniDuke, размером всего 20 КБ, написан на Ассемблере в стиле, характерном для вирусописателей конца 90х — начала 2000х гг. Распространялся вредонос через недавно обнаруженную уязвимость для Adobe Reader (CVE-2013-6040).

Для проникновения в системы жертв используются приемы социальной инженерии: зараженные PDF-документы содержали специально созданный контент, в частности о семинаре по правам человека (ASEM), внешней политике Украины, планах стран НАТО. Все документы содержат эксплойты, атакующие Adobe Reader 9, 10 и 11 версии, созданные с помощью тех же инструментов, что и при атаках, выявленных недавно компанией FireEye.

После заражения MiniDuke связывается с создателями через сервис микроблогов Twitter (в учетных записях злоумышленников ищет твиты, которые, в свою очередь, имеют специальные тэги, маркирующие зашифрованные URL-адреса, которые предоставляют доступ к серверам управления). Создатели MiniDuke используют динамическую резервную систему коммуникации: если Twitter не работает или учетные записи неактивны, вредонос обращается к Google Search чтобы найти зашифрованные ссылки к новым серверам управления.

Управляющие серверы дислоцированы в Панаме и Турции. После установки соединения с сервером управления, система получает зашифрованные сообщения в GIF-файлах, которые на компьютере жертвы маскируются под изображения. Эти бэкдоры могут выполнять несколько основных операций: загрузка и исполнение новых вредоносов, создание папок, копирование, перемещение и удаление файлов.

Атака началась несколько месяцев назад и продолжается до сих пор, ее цели, как и источник, пока не установлены. Последний раз вредонос MiniDuke был модифицирован 20 февраля 2013 г.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT