新網路間諜程式MiniDuke曝光 高達23個國家受害

Visit Website Contact Author
fallback-no-image-2060

*  你在乎網路的隱私權嗎?
* 你的資料還在裸奔嗎?
* 你擔心程式被竊取嗎?
* 你擔心機密文件被駭客入侵嗎?
* 資訊安全專家 – 正新電腦 – 將提供給您資訊保安的產品和服務。

最近安全機構發現,有一波名為MiniDuke的網路間諜活動正在大規模展開,而且僅僅十天內,就感染來自23個國家的59台系統,受駭者包括政府單位、研究機構或私人公司…等。

 

卡巴斯基實驗室(Kaspersky Lab)和匈牙利的加密暨系統安全實驗室(Laboratory of Cryptography and System Security,CrySyS)的研究人員於2/27發出一份安全報告,指出偵測到一個新的惡意間諜程式MiniDuke,該惡意程式藉由魚叉式網路釣魚(spear phishing)手法,冒充成其他機構或個人,然後針對特定的電子郵件發送惡意PDF檔案以展開攻擊。

 

這份惡意PDF檔通常會偽裝成與許多特定組織相關的報告,舉例來說,亞歐會議(Asia-Europe Meeting,ASEM)的一份非正式人權報告、烏克蘭的北約(NATO)會員行動計畫報告、烏克蘭的區域外交政策報告,以及2013亞美尼亞經濟協會(Armenian Economic Association)的報告書…等。

 

一旦受害者開啟PDF檔案後,系統就會下載一個惡意軟體,然後連結到特定的Twitter帳號。該帳號中的tweets包含導向後門程式的加密URLs,以連結到遠端的C&C伺服器,並透過加密的GIF檔案開啟其他後門程式,讓駭客可進而存取、移動和移除資料。

 

此外,由於該惡意軟體內含加密技術,因此可以避免被防毒軟體偵測分析,卡巴斯基實驗室全球研究和分析小組的主管Costin Raiu表示,這個加密技術也被應用在高斯(Gauss)網路間諜軟體中。

 

Raiu進一步指出,MiniDuke非常獨特且前所未見,主要特別之處有二點,一是大小僅有20KB,相較目前多數的間諜程式小上許多,二則是使用Assembler程式撰寫,這在惡意程式中相當罕見。

 

在前述研究報告中還指出,MiniDuke間諜活動可能從2012年4月之前就開始進行,近期更利用Adobe Reader的零時差(zero-day)漏洞去感染更多組織。MiniDuke利用的Adobe Reader漏洞於2/13由FireEye所批露,影響Adobe Reader 9、10和最新的11版本,Adobe也於2/20釋出安全更新,不過卡巴斯基指出,MiniDuke攻擊仍在持續中,意味著攻擊者很可能已經找到其他可以運作的漏洞。

 

目前受害的組織來自23個國家,包含比利時、巴西、保加利亞、捷克共和國、喬治亞、德國、匈牙利、愛爾蘭、以色列、日本、拉脫維亞、黎巴嫩、立陶宛、蒙特內哥羅共和國、葡萄牙、羅馬尼亞、俄羅斯、斯洛維尼亞共和國、西班牙、土耳其、烏克蘭、英國和美國。

友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=7356

 

SafeNet資訊安全保護鎖系列  , 歡迎來電借測 !

正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。

更多產品資訊來源 : www.pronew.com.tw

正新電腦   TEL : 04-2473-8309