Dikkat! Miniduke saldırıları yeniden başlıyor

Miniduke saldırısında hedeflerde hükümetler, diplomatik kuruluşlar, enerji sektörü ve dahası var.

Miniduke saldırıları başlıyor

Kaspersky Lab araştırmacıları, 2013 yılındaki eski stil Miniduke eklentilerinin yine gündeme geldiğini ve hükümetlerle diğer kuruluşları hedef alan aktif kampanyalarda kullanıldığını keşfetti. Hükümetler dışında kurbanlar arasında, diplomatik kuruluşlar, enerji sektörü, telekom operatörleri, askeri yükleniciler ve kontrole tabi yasa dışı maddelerin trafiğinde ve satışında yer alan kişiler var.

Miniduke APT aktörleri kampanyayı durdurduğu halde, ya da en azından yoğunluğunu azaltmalarına rağmen, Kaspersky Lab'ın iş ortağı CrySyS Lab ile birlikte geçtiğimiz yıl yaptığı duyuru sonrasında, 2014'ün ilk aylarında saldırılarına yeniden başladılar. Kaspersky Lab uzmanları bu sefer saldırganların yöntemleri ve kullandıkları araçlarda değişiklikler olduğunu fark etti.

2013 yılında açığa çıktıktan sonra Miniduke'nin arkasındaki aktör, çok sayıda farklı bilgi çeşitlerini çalma yeteneği olan başka bir özel arka kapı kullanmaya başladı. Kötü amaçlı bu uygulama, dosya bilgileri, simgeler ve hatta dosya boyutu dahil olmak üzere arka planda çalışmak için tasarlanmış popüler uygulamaları ele geçiriyor.

Benzersiz özellikler

Benzersiz özellikler

"Yeni" Miniduke'nin ana arka kapısı (diğer adıyla TinyBaron veya CosmicDuke), bot oluştururkenki bileşenleri etkinleştirme veya devre dışı bırakma esnekliğine sahip BotGenStudio adında özelleştirilebilir bir çerçeve kullanılarak derlendi. Kötü amaçlı yazılım, çeşitli bilgileri çalabilme yeteneğine sahip. Arka kapının şunlar da dahil olmak üzere diğer birçok yeteneği mevcut: tuş kaydedici, genel ağ bilgilerini ele geçirme, ekran tutucu, pano tutucu; Microsoft Outlook, Windows Adres Defteri hırsızı; Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird parola hırsızı; Korumalı Depolama gizli bilgilerini ele geçirme, Sertifika/özel tuşları dışa aktarma, vb.

Kötü amaçlı bu yazılım, FTP yoluyla veri yüklemek ve HTTP iletişim mekanizmalarının üç değişik türevi dahil olmak üzere, veriyi gizlice ele geçirmek için birkaç ağ konektörü kullanıyor. Ele geçirilen verilerin depolanması da MiniDuke'nin dikkat çeken bir başka özelliği. Bir dosya, C&C sunucusuna yüklenirken, sunucuya yüklenmek üzere sıkıştırılan, şifrelenen ve bir kapsayıcıya yerleştirilen küçük parçalara (yaklaşık 3 Kb) bölünüyor. MiniDuke'nin her kurbanına özel bir kimlik atanıyor, böylece belirli güncellemelerin tek bir kurbana iletilmesi sağlanıyor.

Analizler sırasında Kaspersky Lab uzmanları, CosmicDuke komut ve kontrol sunucularından (C&C) birinin kopyasını ele geçirmeyi başardı. Bunun yalnızca CosmicDuke aktörleri ve zararlı yazılımın bulaştığı bilgisayarlar arasındaki iletişim için değil, aynı zamanda potansiyel hedeflere ulaşmalarını sağlayabilecek her şeyi toplama hedefi ile İnternet üzerindeki diğer sunuculara izinsiz giriş yapan grup üyeleri tarafından, diğer operasyonlar için de kullanıldığı görüldü.

Okuyucu Yorumları