A Kaspersky Lab felfedezte a hírhedt Miniduke-kal rokonságban álló „CozyDuke" fenyegetést

forrás: Prím Online, 2015. április 24. 16:12

A Kaspersky Lab globális kutató és elemző csapata által közzétett jelentés egy új, fejlett kiberkémkedési kampányt ír le, amely híres intézményeket támad. Az Egyesült Államokban lévő célpontok között a feltételezések szerint megtalálható a Fehér Ház és a Külügyminisztérium, de a támadási lista németországi, dél-koreai és üzbegisztáni kormányzati és kereskedelmi szervezeteket is tartalmaz.

Amellett, hogy igen pontosan célozzák híres áldozataikat, a fenyegetés mögött álló hackerek más aggasztó, ugyanakkor rendkívül érdekes módszereket alkalmaznak, melyek között megtalálhatók a titkosítási és az észlelést megakadályozó technikák. Így például a programkód észleli több biztonsági termék – nevezetesen a Kaspersky Lab, a Sophos, a DrWeb, az Avira, a Crystal és a Comodo megoldásainak – jelenlétét annak érdekében, hogy kijátssza őket.

 

Kapcsolat más csoportokkal

 

A Kaspersky Lab szakértői felfedezték, hogy a rosszindulatú eszközkészlet funkcionalitása és felépítése erős hasonlóságot mutat a több jel alapján feltételezhetően  orosz anyanyelvű hackerek által irányított MiniDukeCosmicDuke és OnionDuke kiberkémkedési kampányoknál alkalmazott eszközkészletével. A Kaspersky Lab megfigyelése szerint a MiniDuke és a CosmicDuke jelenleg is aktív, és diplomáciai szervezeteket, nagykövetségeket, energia-, olaj- és gázipari cégeket, telekommunikációs vállalatokat, katonai létesítményeket, valamint akadémiai és kutatási intézményeket céloz több országban is.

 

 

Terjesztési módszer

 

A CozyDuke csoport főként célzott adathalászattal, feltört webhelyekre – melyek között néha ismert legális webhelyek, például a „diplomacy.pl" találhatók – mutató hivatkozásokat tartalmazó e-mailekkel próbálja meg becserkészni áldozatait. Ezeken a weboldalakon egy ZIP tömörítvényben helyezi el a malware-t. Egy másik módszere flash videóknak álcázott rosszindulatú végrehajtható fájlok szétküldése e-mailek mellékleteként.

 

A CozyDuke egy backdoort és egy telepítőt (dropper) használ. A rosszindulatú program információt küld a célpontról a parancs és vezérlő szervernek, majd konfigurációs fájlt és további modulokat tölt le, amelyek megvalósítják a támadók által igényelt funkciókat.

 

„Évek óta figyeljük mind a MiniDuke-ot, mind a CosmicDuke-ot. A Kaspersky Lab elsőként hívta fel a figyelmet a MiniDuke támadásokra 2013-ban. Ennek a kiberfenyegetésnek a legrégebbi ismert mintája még 2008-ban készült. A CozyDuke minden bizonnyal kapcsolódik ehhez a két kampányhoz, valamint az OnionDuke kiberkémkedési művelethez. Ezen hackercsoportok mindegyike folyamatosan nyomon követi célpontjait, és úgy véljük, hogy az összes kémeszközüket orosz anyanyelvű személyek készítették és üzemeltetik," mondta Kurt Baumgartner, a Kaspersky Lab globális kutató és elemző csapatának vezető biztonsági kutatója.

 

A Kaspersky Lab termékei észlelik az összes ismert mintát, és megvédik használóikat ezzel a fenyegetéssel szemben is.

 

Tippek a felhasználóknak

 

- Ne kattintsunk ismeretlen forrásból származó csatolmányokra és hivatkozásokra.

- Rendszeresen vizsgáljuk át PC-nket egy fejlett antimalware megoldással.

- Óvakodjunk a ZIP tömörítvénybe csomagolt SFX fájloktól.

- Ha gyanúsnak találunk egy csatolmányt, nyissuk meg egy sandboxban.

- Tartsuk naprakész állapotban az operációs rendszerünket, telepítsünk hozzá minden frissítést.

- Frissítsük rendszeresen az olyan elterjedt alkalmazásokat, mint a Microsoft Office, a Java, az Adobe Flash Player és az Adobe Reader.

Biztonság ROVAT TOVÁBBI HÍREI

82%-kal nőtt a BÉT-en jegyzett kibervédelmi cég, a ViVeTech bevétele

82 százalékos növekedéssel, 742,4 millió forintra növelte nettó árbevételét a 2024-es év első hat hónapjában a Budapesti Értéktőzsdén jegyzett kibervédelmi cég az előző év azonos időszakában elért 408,6 millió forintról. A ViVeTech Nyrt. adózott eredménye ezzel párhuzamosan 67 százalékkal, 91,1 millió forintra emelkedett a tavalyi év első felében elért 54,7 millió forintos szintről – derül ki a társaság által publikált 2024. első féléves jelentéséből.

2024. szeptember 15. 13:33

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Techóriások özönlöttek a Városligetbe

2024. szeptember 13. 17:00

Belföldön az elmúlt 2 évben megduplázódott a nyári adatforgalom

2024. szeptember 9. 13:10

Megújult fizetési felülettel erősíti tovább pozícióját az online fizetési piacon a Barion

2024. augusztus 25. 15:34

Indul az Azonnali Fizetési Rendszer 2.0

2024. augusztus 14. 10:27