恶意软件MiniDuke之谜

安全 移动安全
2013年2月12日,国外著名安全公司FireEye宣布发现一个新的PDF 0DAY,而在近日,卡巴斯基发布报告称,上周发现欧洲一系列政府和私人机构网站遭到攻击,并在网站上嵌入利用该PDF 0DAY的恶意软件,该恶意软件被命名为MiniDuke。

2013年2月12日,国外著名安全公司FireEye宣布发现一个新的PDF 0DAY,而在近日,卡巴斯基发布报告称,上周发现欧洲一系列政府和私人机构网站遭到攻击,并在网站上嵌入利用该PDF 0DAY的恶意软件,该恶意软件被命名为MiniDuke。

卡巴斯基实验室与CrySyS实验室联合发布了针对该攻击的详细分析,简要过程如下:

攻击者在攻击过程中,使用了非常有效到位的社会工程技术,他们会向目标发送恶意的PDF文件,文件都是经过精心设计,能吸引人眼球的内容。如ASEM与乌克兰的外交政策、加入北约的计划等,如下图:

恶意软件MiniDuke之谜

一旦用户打开了这些PDF文件,就会从网络下载一个只有20K左右大小的木马到计算机上,该木马是用汇编语言编写,并且通讯经过加密处理。

如果目标系统满足攻击者预的需求,如属于政府、私人机构,则在用户不知情的情况下盗取被感染者Twitter账户。如果Twitter无法使用或者账号已经被删除,该恶意软件还可以通过google搜索,然后通过社交网络再次进行传播。如下图:

恶意软件MiniDuke之谜

攻击者还将一个权限较大的后门隐藏在一个GIF文件内,如下图:

恶意软件MiniDuke之谜

当该后门下载到用户机器上,攻击者就可以远程攻击用户机器,如复制文件、删除文件、杀进程等,通过分析发现,后门会连接到巴拿马和土耳其的两台服务器。

目前受影响的用户遍布23个国家,如下:

比利时,巴西,保加利亚,捷克共和国,格鲁吉亚,德国,匈牙利,爱尔兰,以色列,日本,拉脱维亚,黎巴嫩,立陶宛,黑山,葡萄牙,罗马尼亚,俄罗斯联邦,斯洛文尼亚,西班牙,土耳其,乌克兰,英国和美国。

责任编辑:蓝雨泪 来源: freebuf
相关推荐

2013-03-07 09:26:47

2012-11-12 10:03:27

2014-07-08 10:30:24

2021-11-08 10:45:26

架构软件技术

2021-06-10 10:43:13

Necro恶意软件漏洞

2015-11-06 10:56:03

2012-07-04 10:28:05

2023-11-01 13:29:01

2021-02-28 09:36:14

勒索恶意软件网络威胁

2021-03-15 09:27:36

恶意软件TrickBot僵尸网络

2017-02-23 09:56:39

2014-10-11 11:36:05

2015-05-06 11:22:30

2015-12-08 12:13:05

高级恶意软件Rombertik反恶意软件

2014-12-26 14:35:34

2021-02-08 23:25:40

DanaBot恶意软件木马

2012-05-14 16:18:08

2017-02-16 13:58:40

2017-03-08 10:16:52

点赞
收藏

51CTO技术栈公众号