Belgische overheid doelwit van MiniDuke-backdoor
Aanvallers gebruiken een recent gepatcht beveiligingslek in Adobe Reader voor het aanvallen van Europese overheidsinstellingen, alsmede organisaties in de Verenigde Staten. Het Russische anti-virusbedrijf Kaspersky Lab en Hongaarse CrySys ontdekten de MiniDuke-backdoor, die nog steeds actief door de aanvallers wordt verspreid voor het aanvallen van specifieke organisaties.
Assembler
MiniDuke is een in Assembler geschreven backdoor met een omvang van slechts 20kb. De backdoor zit verstopt in PDF-bestanden die misbruik van een recent gepatcht beveiligingslek in Adobe Reader maken. De aanvallers zijn nog steeds actief en de laatst ontdekte versie dateert van 20 februari, de dag dat Adobe een update voor het lek uitbracht.
Volgens Kaspersky Lab is de veiligheid van een aantal prominente doelwitten, waaronder overheidsinstellingen in de Oekraïne, België, Portugal, Roemenië, Tsjechië en Ierland, al in het geding gekomen door de MiniDuke-aanvallen. Hetzelfde geldt voor een onderzoeksinstituut, twee denktanken en een zorgverlener in de Verenigde Staten, evenals een prominente onderzoeksinstelling in Hongarije.
De gebruikte PDF-bestanden bevatten onder andere informatie over een mensenrechtenseminar (ASEM) en plannen over het buitenlands beleid van de Oekraïne en het NAVO-lidmaatschap.
Toolkit
Om deze exploits te ontwikkelen werd gebruik gemaakt van een toolkit. Vermoedelijk gaat het om dezelfde toolkit waar eerder beveiligingsbedrijf FireEye over rapporteerde. De in de MiniDuke-aanvallen gebruikte exploits hadden echter andere doelstellingen en waren voorzien van hun eigen, aangepaste malware, aldus de Russische virusbestrijder.
Is de exploit succesvol, dan wordt een zeer kleine downloader van slechts 20kb achtergelaten op de pc van het slachtoffer. Deze downloader is uniek per systeem en bevat een aangepaste, in Assembler geschreven backdoor.
Na het opnieuw opstarten van de pc gebruikt de downloader een set wiskundige berekeningen om de unieke vingerafdruk van de computer te bepalen en deze gegevens te gebruiken voor de encryptie van zijn communicatie.
VMware
Daarnaast is de downloader zodanig geprogrammeerd om analyse via een gecodeerde set van tools in bepaalde omgevingen zoals VMware te vermijden. Indien één van deze indicatoren wordt ontdekt, blijft het inactief in de omgeving in plaats van naar een volgende fase te gaan en meer van zijn functionaliteit bloot te geven door zichzelf verder te decoderen.
Als het systeem van het doelwit voldoet aan de vooraf gedefinieerde eisen, gebruikt de malware Twitter (buiten medeweten van de gebruiker) en gaat het op zoek naar specifieke tweets van vooraf aangemaakte accounts.
Deze accounts zijn gecreëerd door MiniDuke's Command and Control (C&C) operators, en de tweets bevatten specifieke tags met labels naar versleutelde URL's voor de backdoors.
Back-up
Als Twitter niet werkt of de accounts niet actief zijn, kan de malware Google Search gebruiken om gecodeerde strings naar de volgende C&C te vinden.
Dit model is flexibel en stelt de aanvallers in staat voortdurend aanpassingen door te voeren zodat waar nodig andere opdrachten of andere malware via de backdoors kan worden opgehaald. Het doel van de malware zou het stelen van informatie zijn.
Beschrijvingen van Miniduke malware op de site van Crysys en Kaspersky deden een Mac belletje rinkelen, klassiek Mac Virus (1999) : Sevendust , (AKA) 666, (autostart virus).
http://defyne.org/agax/additives/sevendust.html
Voldoende overeenkomsten om een inspiratieve link te vermoeden.
Kaspersky laat het bij de hint en noemt het Mac virus verder niet bij naam (subtiele humor?)
"The attackers left a small clue in the code, in the form of the number 666 (0x29A hex) before one of the decryption subroutines: "
Zo ook op Forbes niet : "Old School Malware Writers Resurface With 'MiniDuke' Cyberattack"
http://www.forbes.com/sites/kenrapoza/2013/02/27/old-school-malware-writers-resurface-with-miniduke-cyberattack/
"These elite, ‘old school’ malware writers were extremely effective in the past at creating highly complex viruses, and are now combining these skills with the newly advanced sandbox-evading exploits to target government entities or research institutions in several countries.”
Fun was het niet, maar fascinerend is het wel.
verbanden zien die anderen niet zien of verbanden zien die er niet zijn?
Voor veronderstelde link tussen 29A (666) groep en 666 Classic Mac os virus geen aanwijzingen gevonden dat dit virus van deze makers zou kunnen zijn. Mogelijk gevoel voor humor K-Duke niet verder onderzocht.
Sunglasses off, chewing gum away, nobody hurt
(er blijft een verschil tussen obsessie en gezonde interesse)
verbanden zien die anderen niet zien of verbanden zien die er niet zijn?
Voor veronderstelde link tussen 29A (666) groep en 666 Classic Mac os virus geen aanwijzingen gevonden dat dit virus van deze makers zou kunnen zijn. Mogelijk gevoel voor humor K-Duke niet verder onderzocht.
Sunglasses off, chewing gum away, nobody hurt
(er blijft een verschil tussen obsessie en gezonde interesse)
/trolled
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
