Overslaan naar hoofdinhoud

CosmicDuke-malware (de 'nieuwe' MiniDuke)

DEFINITIE VAN VIRUS

Wat is het?

CosmicDuke werd ontdekt in 2014 en gebruikt de oude stijl van MiniDuke-implantaten uit 2013 die nog steeds aanwezig zijn en worden gebruikt in actieve campagnes die zich richten op overheden en andere entiteiten. Na de ontmaskering van MiniDuke in 2013, ging de hacker achter MiniDuke verder met een aangepaste backdoor. De belangrijkste 'nieuwe' MiniDuke-backdoor (ook wel bekend als TinyBaron of CosmicDuke) kan verschillende soorten informatie stelen.

Hoewel de hacker achter de MiniDuke-APT gestopt was met zijn campagne, of in elk geval de intensiteit ervan had verminderd, zijn de aanvallen in het begin van 2014 weer hervat op volle kracht. Dit keer hebben we gemerkt dat de manier waarop aanvallers zich gedragen en de tools die ze gebruiken zijn veranderd.

Meer informatie

De belangrijkste 'nieuwe' MiniDuke-backdoor (ook wel bekend als TinyBaron of CosmicDuke) is gebaseerd op een aanpasbaar framework genaamd BotGenStudio, dat de flexibiliteit heeft om componenten in of uit te schakelen wanneer de bot is samengesteld.

De componenten kunnen worden onderverdeeld in 3 groepen:

  • Persistentie - MiniDuke/CosmicDuke kan starten via de Windows Taakplanner
  • Verkenning - De malware kan allerlei informatie stelen, bijvoorbeeld informatie uit bestanden met bepaalde extensies of trefwoorden, zoals *.exe, *.ndb; *.mp3; *.avi en *.rar, *.docx, *.url; *.xlsx; *.pptx; *jpg; *.txt, *.lnk; *.dll; *.tmp., enz.
  • Exfiltratie - De malware implementeert verschillende netwerkconnectoren om gegevens te exfiltreren, waaronder het uploaden van gegevens via FTP en drie verschillende varianten van HTTP-communicatiemechanismen.

Hoe weet ik of mijn systeem geïnfecteerd is?

Kaspersky Lab-producten detecteren de CosmicDuke-backdoor als Backdoor.Win32.CosmicDuke.gen en Backdoor.Win32.Generic. Als je al een Kaspersky Lab-product hebt, zou de CosmicDuke-malware al moeten zijn gedetecteerd. Als je geen Kaspersky Lab-product op je computer hebt geïnstalleerd, moet je onze anti-virusproducten downloaden en installeren en de software uitvoeren.

CosmicDuke-malware (de 'nieuwe' MiniDuke)

Wat is de CosmicDuke-malwaredreiging, wat doet deze, en is je systeem besmet? Ontdek het hier.
Kaspersky logo

Gerelateerde artikelen