Miniduke возвращается: Nemesis Gemina и Botgen Studio
Обновление истории одной из самых необычных APT атак
В 2013 году вместе с партнерами из CrySyS Lab, мы опубликовали наше исследование по APT атаке, получившей название "Miniduke". Эта атака выделялась от всех остальных по ряду причин, включая следующие:
- Использование нестандартного бэкдора, написанного на языке Ассемблер (кому понадобилось писать на Ассемблере в век Java и .NET?)
- Уникальный механизма управления, который использует некоторые резервные каналы, такие как сообщения в Twitter
- Использование скрытной передачи дополнительных исполняемых файлов, замаскированных под GIF изображения (некий вариант стеганографии)
Мы уже отмечали, что атакующие используют вредоносный код, разработанный с использованием некоторых техник и особенностей хакеров «старой школы».
Наш анализ продолжили исследователи из CIRCL/Люксембург, а также несколько антивирусных компаний. Недавно нам стало известно о публикации F-Secure об этом же зловреде (под именем “CosmicDuke”).
После ряда публикаций в 2013 Miniduke приостановил или как минимум замедлил интенсивность атак. Однако в начале 2014 года атакующие продолжили работать в полную мощь, что привлекло наше внимание.
Мы считаем, что настало время раскрыть некоторые новые детали их операций.
Дата публикации: 05, Июля 2014 г.
Источник: Лаборатория Касперского
