VIRENDEFINITION
Worum geht es?
CosmicDuke wurde 2014 erkannt und nutzt die alten MiniDuke-Implantate aus 2013, die noch immer vorhanden sind und in aktiven Kampagnen gegen Regierungen und andere Institutionen eingesetzt werden. Nach der Offenlegung 2013 ging der Angreifer hinter MiniDuke zu einer anderen individuellen Backdoor über. Die „neue“ MiniDuke-Backdoor (auch bekannt als TinyBaron oder CosmicDuke) kann verschiedene Arten von Informationen stehlen.
Obwohl der Angreifer hinter der MiniDuke-APT seine Kampagne abbrach oder zumindest die Intensität reduzierte, kehrten die Angriffe Anfang 2014 wieder mit voller Kraft zurück. Dieses Mal konnten wir Änderungen bei der verwendeten Angriffsart und den eingesetzten -tools feststellen.
Details
Die „neue“ MiniDuke-Backdoor (auch bekannt als TinyBaron oder CosmicDuke) besteht aus dem Einsatz eines anpassbaren Frameworks namens BotGenStudio. Dieses Framework bietet die Flexibilität, Komponenten zu de- bzw. zu aktivieren, wenn der Bot erstellt wurde.
Die Komponenten lassen sich in drei Kategorien aufteilen:
- Hartnäckigkeit: MiniDuke/CosmicDuke kann über den Windows-Taskplaner gestartet werden.
- Aufklärung: Die Malware kann verschiedene Informationen stehlen, darunter beispielsweise auch Dateien mit den Erweiterungen EXE, NDB, MP3, AVI, RAR, DOCX, URL, XLSX, PPTX, JPG, TXT, LNK, DLL, TMP usw.
- Extraktion: Die Malware implementiert verschiedene Netzwerkverbindungen, um Daten zu extrahieren, darunter der Daten-Upload per FTP und drei verschiedene HTTP-Kommunikationsmechanismen.
Wie erkenne ich, ob mein Computer infiziert ist?
Kaspersky-Produkte erkennen die CosmicDuke-Backdoor als: Backdoor.Win32.CosmicDuke.gen und Backdoor.Win32.Generic. Wenn Sie bereits über ein Kaspersky-Produkt verfügen, wäre die CosmicDuke-Malware bei einer Infektion bereits erkannt worden. Wenn Sie noch kein Kaspersky-Produkt nutzen, müssen Sie eines der Antiviren-Produkte von Kaspersky Lab herunterladen und installieren und die Software anschließend ausführen.