Aanvallers gebruiken een recent gepatcht beveiligingslek in Adobe Reader voor het aanvallen van Europese overheidsinstellingen, alsmede organisaties in de Verenigde Staten. Het Russische anti-virusbedrijf Kaspersky Lab en Hongaarse CrySys ontdekten de MiniDuke-backdoor, die nog steeds actief door de aanvallers wordt verspreid voor het aanvallen van specifieke organisaties.

Assembler
MiniDuke is een in Assembler geschreven backdoor met een omvang van slechts 20kb. De backdoor zit verstopt in PDF-bestanden die misbruik van een recent gepatcht beveiligingslek in Adobe Reader maken. De aanvallers zijn nog steeds actief en de laatst ontdekte versie dateert van 20 februari, de dag dat Adobe een update voor het lek uitbracht.

Volgens Kaspersky Lab is de veiligheid van een aantal prominente doelwitten, waaronder overheidsinstellingen in de Oekraïne, België, Portugal, Roemenië, Tsjechië en Ierland, al in het geding gekomen door de MiniDuke-aanvallen. Hetzelfde geldt voor een onderzoeksinstituut, twee denktanken en een zorgverlener in de Verenigde Staten, evenals een prominente onderzoeksinstelling in Hongarije.

De gebruikte PDF-bestanden bevatten onder andere informatie over een mensenrechtenseminar (ASEM) en plannen over het buitenlands beleid van de Oekraïne en het NAVO-lidmaatschap.

Toolkit
Om deze exploits te ontwikkelen werd gebruik gemaakt van een toolkit. Vermoedelijk gaat het om dezelfde toolkit waar eerder beveiligingsbedrijf FireEye over rapporteerde. De in de MiniDuke-aanvallen gebruikte exploits hadden echter andere doelstellingen en waren voorzien van hun eigen, aangepaste malware, aldus de Russische virusbestrijder.

Is de exploit succesvol, dan wordt een zeer kleine downloader van slechts 20kb achtergelaten op de pc van het slachtoffer. Deze downloader is uniek per systeem en bevat een aangepaste, in Assembler geschreven backdoor.

Na het opnieuw opstarten van de pc gebruikt de downloader een set wiskundige berekeningen om de unieke vingerafdruk van de computer te bepalen en deze gegevens te gebruiken voor de encryptie van zijn communicatie.

VMware
Daarnaast is de downloader zodanig geprogrammeerd om analyse via een gecodeerde set van tools in bepaalde omgevingen zoals VMware te vermijden. Indien één van deze indicatoren wordt ontdekt, blijft het inactief in de omgeving in plaats van naar een volgende fase te gaan en meer van zijn functionaliteit bloot te geven door zichzelf verder te decoderen.

Als het systeem van het doelwit voldoet aan de vooraf gedefinieerde eisen, gebruikt de malware Twitter (buiten medeweten van de gebruiker) en gaat het op zoek naar specifieke tweets van vooraf aangemaakte accounts.

Deze accounts zijn gecreëerd door MiniDuke's Command and Control (C&C) operators, en de tweets bevatten specifieke tags met labels naar versleutelde URL's voor de backdoors.

Back-up
Als Twitter niet werkt of de accounts niet actief zijn, kan de malware Google Search gebruiken om gecodeerde strings naar de volgende C&C te vinden.

Dit model is flexibel en stelt de aanvallers in staat voortdurend aanpassingen door te voeren zodat waar nodig andere opdrachten of andere malware via de backdoors kan worden opgehaald. Het doel van de malware zou het stelen van informatie zijn.