最近安全機構發現,有一波名為MiniDuke的網路間諜活動正在大規模展開,而且僅僅十天內,就感染來自23個國家的59台系統,受駭者包括政府單位、研究機構或私人公司…等。
卡巴斯基實驗室(Kaspersky Lab)和匈牙利的加密暨系統安全實驗室(Laboratory of Cryptography and System Security,CrySyS)的研究人員於2/27發出一份安全報告,指出偵測到一個新的惡意間諜程式MiniDuke,該惡意程式藉由魚叉式網路釣魚(spear phishing)手法,冒充成其他機構或個人,然後針對特定的電子郵件發送惡意PDF檔案以展開攻擊。
這份惡意PDF檔通常會偽裝成與許多特定組織相關的報告,舉例來說,亞歐會議(Asia-Europe Meeting,ASEM)的一份非正式人權報告、烏克蘭的北約(NATO)會員行動計畫報告、烏克蘭的區域外交政策報告,以及2013亞美尼亞經濟協會(Armenian Economic Association)的報告書…等。
一旦受害者開啟PDF檔案後,系統就會下載一個惡意軟體,然後連結到特定的Twitter帳號。該帳號中的tweets包含導向後門程式的加密URLs,以連結到遠端的C&C伺服器,並透過加密的GIF檔案開啟其他後門程式,讓駭客可進而存取、移動和移除資料。
此外,由於該惡意軟體內含加密技術,因此可以避免被防毒軟體偵測分析,卡巴斯基實驗室全球研究和分析小組的主管Costin Raiu表示,這個加密技術也被應用在高斯(Gauss)網路間諜軟體中。
Raiu進一步指出,MiniDuke非常獨特且前所未見,主要特別之處有二點,一是大小僅有20KB,相較目前多數的間諜程式小上許多,二則是使用Assembler程式撰寫,這在惡意程式中相當罕見。
在前述研究報告中還指出,MiniDuke間諜活動可能從2012年4月之前就開始進行,近期更利用Adobe Reader的零時差(zero-day)漏洞去感染更多組織。MiniDuke利用的Adobe Reader漏洞於2/13由FireEye所批露,影響Adobe Reader 9、10和最新的11版本,Adobe也於2/20釋出安全更新,不過卡巴斯基指出,MiniDuke攻擊仍在持續中,意味著攻擊者很可能已經找到其他可以運作的漏洞。
目前受害的組織來自23個國家,包含比利時、巴西、保加利亞、捷克共和國、喬治亞、德國、匈牙利、愛爾蘭、以色列、日本、拉脫維亞、黎巴嫩、立陶宛、蒙特內哥羅共和國、葡萄牙、羅馬尼亞、俄羅斯、斯洛維尼亞共和國、西班牙、土耳其、烏克蘭、英國和美國。