Kaspersky Lab's Global Research and Analysis Team published research which describes a new, advanced espionage campaign that uses malicious software (CozyDuke) to target very specific and high-ranking players.
US targets are believed to include the White House and the State Department, while the list of attackers also includes government agencies and legal entities / commercial entities in Germany, South Korea and Uzbekistan.
Along with the very precise targeting of high-ranking victims, the threatening player has even more disturbing features.
This includes encryption and avoid detection. For example, the code "looks for" the presence of security products (from various providers) in order to try to avoid them.
The companies whose products he tries to avoid are Kaspersky Lab, the Sophos, DrWeb, Avira, Crystal and Comodo Dragon.
Connect with other digital espionage providers
Kaspersky Lab experts revealed the powerful functionalof the malware, as well as structural similarities that matched the "package" of tools used in the digital espionage campaigns MiniDuke, CosmicDuke και OnionDuke. Σύμφωνα με μια σειρά δεικτών, πιστεύεται ότι η διαχείριση των σχετικών επιχειρήσεων γίνεται από Ρωσόφωνους δημιουργούς. Οι παρατηρήσεις της Kaspersky Lab δείχνουν ότι οι φορείς MiniDuke και CosmicDuke είναι ακόμα ενεργοί και στρέφονται ενάντια σε διπλωματικούς οργανισμούς/πρεσβείες, εταιρείες ενέργειας και υδρογονανθράκων, παρόχους τηλεπικοινωνιών, στρατιωτικούς οργανισμούς, ακαδημαϊκά και ερευνητικά ιδρύματα σε διάφορες countries.
Distribution method
The CozyDuke player often attacks his goals through spearphishing email, which contains a link that leads to a broken website (sometimes high profile, legitimate such as diplomacy.pl), which host a ZIP file containing malicious software. In other highly successful businesses, this carrier sends a fake flash video with malicious executable files, which are included as email attachments.
Το λογισμικό CozyDuke χρησιμοποιεί ένα backdoor και ένα dropper. Το κακόβουλο πρόγραμμα στέλνει πληροφορίες σχετικά με το στόχο στον Command & Control Server. Επίσης, ανακτά τα αρχεία ρυθμίσεων και επιπρόσθετες μονάδες που εκτελούν οποιαδήποτε πρόσθετη λειτουργικότητα χρειάζονται οι επιτιθέμενοι.
«Παρακολουθούμε το MiniDuke και το CosmicDuke εδώ και two χρόνια. Η Kaspersky Lab ήταν η πρώτη εταιρεία που προειδοποίησε σχετικά με τις επιθέσεις του MiniDuke το 2013, με τα «παλαιότερα» γνωστά δείγματα αυτής της ψηφιακής απειλής να χρονολογούνται από το 2008. Το CozyDuke σίγουρα συνδέεται με αυτές τις δύο εκστρατείες, καθώς και με τη δράση ψηφιακής κατασκοπείας του OnionDuke. Κάθε ένας από αυτούς τους απειλητικούς φορείς συνεχίζει να παρακολουθεί τους στόχους του και πιστεύουμε ότι όλα τα εργαλεία κατασκοπείας τους έχουν δημιουργηθεί από Ρωσόφωνους», said Kurt Baumgartner, Principal Security Researcher of Kaspersky Lab's Worldwide Research and Analysis Group,
Kaspersky Lab products detect all known threats and protect users.
Tips for users
- Do not open attachments and links from senders you do not know
- Scan regularly to your computer with an advanced anti-malware solution
- To show caution in ZIP files containing SFX files
- If you are not sure about the attached file, try opening it in a sandbox environment
- Make sure you have an updated one operating system, with all necessary patches installed
- Update all third-party applications, such as Microsoft Office, Java, Adobe Flash Player, and Adobe Reader
More information about the "CozyDuke" action is available on the site Securelist.com.