Belgische overheid doelwit van MiniDuke-backdoor
Aanvallers gebruiken een recent gepatcht beveiligingslek in Adobe Reader voor het aanvallen van Europese overheidsinstellingen, alsmede organisaties in de Verenigde Staten. Het Russische anti-virusbedrijf Kaspersky Lab en Hongaarse CrySys ontdekten de MiniDuke-backdoor, die nog steeds actief door de aanvallers wordt verspreid voor het aanvallen van specifieke organisaties.
Assembler
MiniDuke is een in Assembler geschreven backdoor met een omvang van slechts 20kb. De backdoor zit verstopt in PDF-bestanden die misbruik van een recent gepatcht beveiligingslek in Adobe Reader maken. De aanvallers zijn nog steeds actief en de laatst ontdekte versie dateert van 20 februari, de dag dat Adobe een update voor het lek uitbracht.
Volgens Kaspersky Lab is de veiligheid van een aantal prominente doelwitten, waaronder overheidsinstellingen in de Oekraïne, België, Portugal, Roemenië, Tsjechië en Ierland, al in het geding gekomen door de MiniDuke-aanvallen. Hetzelfde geldt voor een onderzoeksinstituut, twee denktanken en een zorgverlener in de Verenigde Staten, evenals een prominente onderzoeksinstelling in Hongarije.
De gebruikte PDF-bestanden bevatten onder andere informatie over een mensenrechtenseminar (ASEM) en plannen over het buitenlands beleid van de Oekraïne en het NAVO-lidmaatschap.
Toolkit
Om deze exploits te ontwikkelen werd gebruik gemaakt van een toolkit. Vermoedelijk gaat het om dezelfde toolkit waar eerder beveiligingsbedrijf FireEye over rapporteerde. De in de MiniDuke-aanvallen gebruikte exploits hadden echter andere doelstellingen en waren voorzien van hun eigen, aangepaste malware, aldus de Russische virusbestrijder.
Is de exploit succesvol, dan wordt een zeer kleine downloader van slechts 20kb achtergelaten op de pc van het slachtoffer. Deze downloader is uniek per systeem en bevat een aangepaste, in Assembler geschreven backdoor.
Na het opnieuw opstarten van de pc gebruikt de downloader een set wiskundige berekeningen om de unieke vingerafdruk van de computer te bepalen en deze gegevens te gebruiken voor de encryptie van zijn communicatie.
VMware
Daarnaast is de downloader zodanig geprogrammeerd om analyse via een gecodeerde set van tools in bepaalde omgevingen zoals VMware te vermijden. Indien één van deze indicatoren wordt ontdekt, blijft het inactief in de omgeving in plaats van naar een volgende fase te gaan en meer van zijn functionaliteit bloot te geven door zichzelf verder te decoderen.
Als het systeem van het doelwit voldoet aan de vooraf gedefinieerde eisen, gebruikt de malware Twitter (buiten medeweten van de gebruiker) en gaat het op zoek naar specifieke tweets van vooraf aangemaakte accounts.
Deze accounts zijn gecreëerd door MiniDuke's Command and Control (C&C) operators, en de tweets bevatten specifieke tags met labels naar versleutelde URL's voor de backdoors.
Back-up
Als Twitter niet werkt of de accounts niet actief zijn, kan de malware Google Search gebruiken om gecodeerde strings naar de volgende C&C te vinden.
Dit model is flexibel en stelt de aanvallers in staat voortdurend aanpassingen door te voeren zodat waar nodig andere opdrachten of andere malware via de backdoors kan worden opgehaald. Het doel van de malware zou het stelen van informatie zijn.
Beschrijvingen van Miniduke malware op de site van Crysys en Kaspersky deden een Mac belletje rinkelen, klassiek Mac Virus (1999) : Sevendust , (AKA) 666, (autostart virus).
http://defyne.org/agax/additives/sevendust.html
Voldoende overeenkomsten om een inspiratieve link te vermoeden.
Kaspersky laat het bij de hint en noemt het Mac virus verder niet bij naam (subtiele humor?)
"The attackers left a small clue in the code, in the form of the number 666 (0x29A hex) before one of the decryption subroutines: "
Zo ook op Forbes niet : "Old School Malware Writers Resurface With 'MiniDuke' Cyberattack"
http://www.forbes.com/sites/kenrapoza/2013/02/27/old-school-malware-writers-resurface-with-miniduke-cyberattack/
"These elite, ‘old school’ malware writers were extremely effective in the past at creating highly complex viruses, and are now combining these skills with the newly advanced sandbox-evading exploits to target government entities or research institutions in several countries.”
Fun was het niet, maar fascinerend is het wel.
verbanden zien die anderen niet zien of verbanden zien die er niet zijn?
Voor veronderstelde link tussen 29A (666) groep en 666 Classic Mac os virus geen aanwijzingen gevonden dat dit virus van deze makers zou kunnen zijn. Mogelijk gevoel voor humor K-Duke niet verder onderzocht.
Sunglasses off, chewing gum away, nobody hurt
(er blijft een verschil tussen obsessie en gezonde interesse)
verbanden zien die anderen niet zien of verbanden zien die er niet zijn?
Voor veronderstelde link tussen 29A (666) groep en 666 Classic Mac os virus geen aanwijzingen gevonden dat dit virus van deze makers zou kunnen zijn. Mogelijk gevoel voor humor K-Duke niet verder onderzocht.
Sunglasses off, chewing gum away, nobody hurt
(er blijft een verschil tussen obsessie en gezonde interesse)
/trolled
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.