近日,国际领先的信息安全服务提供商--卡巴斯基实验室专宣布发现一款最新的恶意程序,它是一种高度可定制化的威胁,被称为MiniDuke。卡巴斯基最新的研究报告显示,新型复杂威胁整合了"老派"恶意软件编写者的技巧和最新的Adobe Reader漏洞,针对多个重要机构发动攻击,收集地缘政治情报。过去几周内,MiniDuke后门程序被用来针对全球多个政府机构发动攻击。卡巴斯基的调查显示,多个重要目标已经被MiniDuke攻击所攻陷,其中包括乌克兰、比利时、葡萄牙、罗马尼亚、捷克和爱尔兰的政府机构。此外,被攻陷的还包括一个研究学院,两个智囊团和一家美国医疗保健机构以及匈牙利一家知名的研究基金会。
目前,MiniDuke背后的攻击者仍然在行动,其在2013年2月20日还创建了恶意软件。而为了攻陷受害者,攻击者使用了极为有效的社交工程技巧,发送恶意PDF文档到受攻击目标。攻击用PDF同被攻击机构具有高度相关性,其内容是精心设计的,其中包括假冒的人权报告信息(ASEM)和乌克兰的外交政策以及北约(NATO)的成员国计划等。恶意PDF中包括漏洞利用程序,能够攻击版本号为9、10和11的Adobe Reader,并绕过其沙盒安全措施。这类漏洞利用程序的创建使用了专门的工具包,其所用工具包似乎同FireEye最近发现的攻击所用工具包一致。尽管如此,MiniDuke攻击中使用的漏洞利用程序同其目的不同,并针对其定制了自己的恶意软件。此外,MiniDuke的创造者创建了一种动态备份系统,能够绕过一些反病毒检测。这表明,恶意软件编写者了解反病毒和IT安全人员为了分析和检测恶意软件所采取的手段。
卡巴斯基实验室创始人兼CEO尤金·卡巴斯基说:"这是一次非比寻常的网络攻击。我记得这种风格的恶意程序出现于90年代末期和21世纪初。我怀疑是否这类恶意软件编写者是否在沉寂超过10年之后,又重新苏醒,加入到在网络世界创建最新复杂威胁之列。这些精英编程者或者说"老派"的恶意软件编写者在过去曾经创建出高度复杂的病毒,现在他们将这一技能同最新的能够绕过沙盒的漏洞利用技术结合,开始针对多个国家的政府机构和研究机构发动攻击。"而尤金还补充道:"MiniDuke是一款高度可定制后门程序,由汇编程序编写,体积非常小,仅有20kb大小。通过结合,使得经验丰富的老派恶意软件编写者可以使用最新发现的漏洞利用程序和高明的社交工程技巧,从而造成多个重要被攻击目标面临极高风险。"