image

Belgische overheid doelwit van MiniDuke-backdoor

woensdag 27 februari 2013, 15:57 door Redactie, 4 reacties

Aanvallers gebruiken een recent gepatcht beveiligingslek in Adobe Reader voor het aanvallen van Europese overheidsinstellingen, alsmede organisaties in de Verenigde Staten. Het Russische anti-virusbedrijf Kaspersky Lab en Hongaarse CrySys ontdekten de MiniDuke-backdoor, die nog steeds actief door de aanvallers wordt verspreid voor het aanvallen van specifieke organisaties.

Assembler
MiniDuke is een in Assembler geschreven backdoor met een omvang van slechts 20kb. De backdoor zit verstopt in PDF-bestanden die misbruik van een recent gepatcht beveiligingslek in Adobe Reader maken. De aanvallers zijn nog steeds actief en de laatst ontdekte versie dateert van 20 februari, de dag dat Adobe een update voor het lek uitbracht.

Volgens Kaspersky Lab is de veiligheid van een aantal prominente doelwitten, waaronder overheidsinstellingen in de Oekraïne, België, Portugal, Roemenië, Tsjechië en Ierland, al in het geding gekomen door de MiniDuke-aanvallen. Hetzelfde geldt voor een onderzoeksinstituut, twee denktanken en een zorgverlener in de Verenigde Staten, evenals een prominente onderzoeksinstelling in Hongarije.

De gebruikte PDF-bestanden bevatten onder andere informatie over een mensenrechtenseminar (ASEM) en plannen over het buitenlands beleid van de Oekraïne en het NAVO-lidmaatschap.

Toolkit
Om deze exploits te ontwikkelen werd gebruik gemaakt van een toolkit. Vermoedelijk gaat het om dezelfde toolkit waar eerder beveiligingsbedrijf FireEye over rapporteerde. De in de MiniDuke-aanvallen gebruikte exploits hadden echter andere doelstellingen en waren voorzien van hun eigen, aangepaste malware, aldus de Russische virusbestrijder.

Is de exploit succesvol, dan wordt een zeer kleine downloader van slechts 20kb achtergelaten op de pc van het slachtoffer. Deze downloader is uniek per systeem en bevat een aangepaste, in Assembler geschreven backdoor.

Na het opnieuw opstarten van de pc gebruikt de downloader een set wiskundige berekeningen om de unieke vingerafdruk van de computer te bepalen en deze gegevens te gebruiken voor de encryptie van zijn communicatie.

VMware
Daarnaast is de downloader zodanig geprogrammeerd om analyse via een gecodeerde set van tools in bepaalde omgevingen zoals VMware te vermijden. Indien één van deze indicatoren wordt ontdekt, blijft het inactief in de omgeving in plaats van naar een volgende fase te gaan en meer van zijn functionaliteit bloot te geven door zichzelf verder te decoderen.

Als het systeem van het doelwit voldoet aan de vooraf gedefinieerde eisen, gebruikt de malware Twitter (buiten medeweten van de gebruiker) en gaat het op zoek naar specifieke tweets van vooraf aangemaakte accounts.

Deze accounts zijn gecreëerd door MiniDuke's Command and Control (C&C) operators, en de tweets bevatten specifieke tags met labels naar versleutelde URL's voor de backdoors.

Back-up
Als Twitter niet werkt of de accounts niet actief zijn, kan de malware Google Search gebruiken om gecodeerde strings naar de volgende C&C te vinden.

Dit model is flexibel en stelt de aanvallers in staat voortdurend aanpassingen door te voeren zodat waar nodig andere opdrachten of andere malware via de backdoors kan worden opgehaald. Het doel van de malware zou het stelen van informatie zijn.

Reacties (4)
28-02-2013, 01:41 door Anoniem
Blast from the Past ?

Beschrijvingen van Miniduke malware op de site van Crysys en Kaspersky deden een Mac belletje rinkelen, klassiek Mac Virus (1999) : Sevendust , (AKA) 666, (autostart virus).

http://defyne.org/agax/additives/sevendust.html
Voldoende overeenkomsten om een inspiratieve link te vermoeden.

Kaspersky laat het bij de hint en noemt het Mac virus verder niet bij naam (subtiele humor?)
"The attackers left a small clue in the code, in the form of the number 666 (0x29A hex) before one of the decryption subroutines: "

Zo ook op Forbes niet : "Old School Malware Writers Resurface With 'MiniDuke' Cyberattack"
http://www.forbes.com/sites/kenrapoza/2013/02/27/old-school-malware-writers-resurface-with-miniduke-cyberattack/

"These elite, ‘old school’ malware writers were extremely effective in the past at creating highly complex viruses, and are now combining these skills with the newly advanced sandbox-evading exploits to target government entities or research institutions in several countries.”

Fun was het niet, maar fascinerend is het wel.
28-02-2013, 18:50 door Anoniem
mini Duke -> time to kick ass and chew bubblegum and i'm all out of gum.
01-03-2013, 19:57 door Anoniem
Bubble gum and kicking ass,
verbanden zien die anderen niet zien of verbanden zien die er niet zijn?

Voor veronderstelde link tussen 29A (666) groep en 666 Classic Mac os virus geen aanwijzingen gevonden dat dit virus van deze makers zou kunnen zijn. Mogelijk gevoel voor humor K-Duke niet verder onderzocht.

Sunglasses off, chewing gum away, nobody hurt
(er blijft een verschil tussen obsessie en gezonde interesse)
04-03-2013, 07:03 door Anoniem
Door Anoniem: Bubble gum and kicking ass,
verbanden zien die anderen niet zien of verbanden zien die er niet zijn?

Voor veronderstelde link tussen 29A (666) groep en 666 Classic Mac os virus geen aanwijzingen gevonden dat dit virus van deze makers zou kunnen zijn. Mogelijk gevoel voor humor K-Duke niet verder onderzocht.

Sunglasses off, chewing gum away, nobody hurt
(er blijft een verschil tussen obsessie en gezonde interesse)

/trolled
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.