返回新闻列表

Duke 死灰复燃:卡巴斯基实验室发现一种同 Miniduke 相关的最新“CozyDuke”网络威胁

       近日,卡巴斯基实验室的全球研究和分析团队发表了一篇报告,描述了一种最新的使用恶意软件针对特定重要机构进行攻击的高级网络间谍攻击行动。据称,美国的受攻击目标包括白宫和美国国务院。此外,攻击目标还包括德国、韩国和乌兹别克斯坦的政府机构和商业机构。

       除了能够针对非常重要的机构进行精准攻击外,CozyDuke 还表现出其他令人担忧,同时又很迷人的特征。其中包括使用了加密技术和反检测功能。例如,CozyDuke的代码会查找系统中是否存在多种安全产品,从而试图绕过这些安全产品的检测。包括卡巴斯基实验室、Sophos、DrWeb、Avira、Crystal 和 Comodo Dragon推出的产品。

同其他网络间谍攻击者的关系

       卡巴斯基实验室的安全专家发现 CozyDuke 具有很强的恶意程序功能,同时还发现其结构同 MiniDukeCosmicDuke 和 OnionDuke 网络间谍攻击行动使用的工具存在相似之处。一些迹象表明,这一威胁应该是由说俄语的编写者编写和控制的。卡巴斯基实验室的观察显示,MiniDuke 和 CosmicDuke仍在活动,针对多个国家的外交机构/大使馆、能源、石油和天然气企业、电信行业、军工行业以及学术/研究机构进行攻击。

传播手段

       CozyDuke 攻击者经常利用鱼叉式钓鱼邮件对目标发动攻击。邮件中包含指向被黑掉的网站的链接——有时候则是被攻陷的合法网站,例如“diplomacy.pl”。这些网站上放置有包含恶意软件的ZIP压缩文档。其他的攻击方式还包括以邮件附件的形式发送假冒的flash视频,其中包含恶意可执行文件。

       CozyDuke 使用一个后面程序和一个恶意程序释放器。恶意程序会将受害者的信息发送到命令和控制服务器,并从服务器获取配置文件和额外的恶意模块,执行攻击者所需要的功能。

       “我们对 MiniDuke 和 CosmicDuke 已经监控多年。卡巴斯基实验室还是在 2013 年最早发现 MiniDuke 攻击的安全厂商,该恶意程序最“古老”的已知样本可以追溯到 2008 年。毫无疑问,CozyDuke 同上述两种攻击行动有联系,同时也同 OnionDuke 网络间谍行动有所关联。这些攻击的幕后控制者仍然在追踪其攻击目标。我们坚信,这些间谍工具均是由说俄语的恶意程序编写者所制造和控制的,”卡巴斯基实验室全球研究和分析团队首席安全研究员 Kurt Baumgartner 说。

       目前,卡巴斯基实验室的产品已经能够检测和清除这一威胁的所有已知样本。

针对用户的安全提示

  • 不要打开不认识的人发送的邮件中的附件和链接
  • 使用反恶意软件解决方案顶起扫描计算机
  • 当心包含SFX文件的ZIP压缩文档
  • 如果对附件的安全性不确定,可以在沙盒中打开它
  • 确保使用较新的操作系统,并且及时安装补丁
  • 及时更新第三方应用程序,例如 Microsoft Office、Java、Adobe Flash Player 和 Adobe Reader

       要了解更多关于“CozyDuke”攻击行动详情,请阅读Securelist.com上的相关博文。