Kaspersky Lab: CozyDuke's new digital threat

Kaspersky Lab's Global Research and Analysis Team published research which describes a new, advanced espionage campaign that uses malicious software (CozyDuke) to target very specific and high-ranking players. CozyDuke white house

US targets are believed to include the White House and the State Department, while the list of attackers also includes government agencies and legal entities / commercial entities in Germany, South Korea and Uzbekistan.

Along with the very precise targeting of high-ranking victims, the threatening player has even more disturbing features.

This includes encryption and avoid detection. For example, the code "looks for" the presence of security products (from various providers) in order to try to avoid them.

The companies whose products he tries to avoid are Kaspersky Lab, the , DrWeb, Avira, Crystal and Comodo Dragon.

Connect with other digital espionage providers

Kaspersky Lab experts revealed the powerful of the malware, as well as structural similarities that matched the "package" of tools used in the digital espionage campaigns MiniDuke, CosmicDuke και OnionDuke. Σύμφωνα με μια σειρά δεικτών, πιστεύεται ότι η διαχείριση των σχετικών επιχειρήσεων γίνεται από Ρωσόφωνους δημιουργούς. Οι παρατηρήσεις της Kaspersky Lab δείχνουν ότι οι φορείς MiniDuke και CosmicDuke είναι ακόμα ενεργοί και στρέφονται ενάντια σε διπλωματικούς οργανισμούς/πρεσβείες, εταιρείες ενέργειας και υδρογονανθράκων, παρόχους τηλεπικοινωνιών, στρατιωτικούς οργανισμούς, ακαδημαϊκά και ερευνητικά ιδρύματα σε διάφορες .

Distribution method

The CozyDuke player often attacks his goals through spearphishing email, which contains a link that leads to a broken website (sometimes high profile, legitimate such as diplomacy.pl), which host a ZIP file containing malicious software. In other highly successful businesses, this carrier sends a fake flash video with malicious executable files, which are included as email attachments.

Το λογισμικό CozyDuke χρησιμοποιεί ένα backdoor και ένα dropper. Το κακόβουλο πρόγραμμα στέλνει πληροφορίες σχετικά με το στόχο στον Command & Server. Επίσης, ανακτά τα αρχεία ρυθμίσεων και επιπρόσθετες μονάδες που εκτελούν οποιαδήποτε πρόσθετη λειτουργικότητα χρειάζονται οι επιτιθέμενοι.

«Παρακολουθούμε το MiniDuke και το CosmicDuke εδώ και χρόνια. Η Kaspersky Lab ήταν η πρώτη εταιρεία που προειδοποίησε σχετικά με τις επιθέσεις του MiniDuke το 2013, με τα  «παλαιότερα» γνωστά δείγματα αυτής της ψηφιακής απειλής να χρονολογούνται από το 2008. Το CozyDuke σίγουρα συνδέεται με αυτές τις δύο εκστρατείες, καθώς και με τη δράση ψηφιακής κατασκοπείας του OnionDuke. Κάθε ένας από αυτούς τους απειλητικούς φορείς συνεχίζει να παρακολουθεί τους στόχους του και πιστεύουμε ότι όλα τα εργαλεία κατασκοπείας τους έχουν δημιουργηθεί από Ρωσόφωνους», said Kurt Baumgartner, Principal Security Researcher of Kaspersky Lab's Worldwide Research and Analysis Group,

Kaspersky Lab products detect all known threats and protect users.

Tips for users

  • Do not open attachments and links from senders you do not know
  • Scan regularly to your computer with an advanced anti-malware solution
  • To show in ZIP files containing SFX files
  • If you are not sure about the attached file, try opening it in a sandbox environment
  • Make sure you have an updated one , with all necessary patches installed
  • Update all third-party applications, such as Microsoft Office, Java, Adobe Flash Player, and Adobe

More information about the "CozyDuke" action is available on the site Securelist.com.

iGuRu.gr The Best Technology Site in Greecefgns

every publication, directly to your inbox

Join the 2.100 registrants.

Written by Dimitris

Dimitris hates on Mondays .....

Leave a reply

Your email address is not published. Required fields are mentioned with *

Your message will not be published if:
1. Contains insulting, defamatory, racist, offensive or inappropriate comments.
2. Causes harm to minors.
3. It interferes with the privacy and individual and social rights of other users.
4. Advertises products or services or websites.
5. Contains personal information (address, phone, etc.).