F-Secure: Разновидность CosmicDuke устанавливает бэкдор MiniDuke на инфицированных системах

Разновидность CosmicDuke устанавливает MiniDuke на инфицированных системах. Такое открытие сделали исследователи ИБ-компании F-Secure в ходе мониторинга вредоносных кампаний CosmicDuke, MiniDuke и OnionDuke.

CosmicDuke – вредонос, созданный для похищения информации, был обнаружен финскими специалистами весной прошлого года во время анализа бэкдора MiniDuke. Тогда эксперты заметили, что документы, использовавшиеся в качестве приманки в атаках CosmicDuke, содержали ссылки на Украину, Польшу, Турцию и Россию.

В ходе анализа нескольких вредоносных документов, загруженных на VirusTotal, специалисты выяснили, что как минимум одно Министерство иностранных дел в Европе подвергалось кибершпионским атакам. Документы обманным путем заставляли пользователей активизировать макрос, что, в свою очередь, приводило к инфицированию целевой системы вредоносной программой CosmicDuke.

По словам специалистов, эта разновидность CosmicDuke позволяет злоумышленникам установить бэкдор MiniDuke на зараженных системах.

«CosmicDuke и MiniDuke дополняют друг друга. CosmicDuke – похититель информации, идеальный для осуществления разведывательных действий и эксфильтрации данных, а MiniDuke – бэкдор, позволяющий злоумышленнику получить полный контроль над компьютером», - отметил эксперт F-Secure Тимо Хирвонен (Timo Hirvonen).

По данным специалистов, CosmicDuke используется в двух типах операций: атаках, нацеленных на правительственные и другие организации, и в кампаниях, нацеленных на пользователей, вовлеченных в торговлю контролируемыми или запрещенными субстанциями.

С полным отчетом можно ознакомиться здесь .