近日,卡巴斯基实验室全球研究和分析团队发现了一种使用恶意软件针对特定重要机构进行攻击的最新高级网络间谍攻击行动。据称,位于美国的受攻击目标包括白宫和美国国务院。此外,攻击目标还包括德国、韩国和乌兹别克斯坦的政府机构和商业机构。
除了能够针对重要机构进行精准攻击外,CozyDuke还表现出其他令人担忧的特征,包括其使用的加密技术和反检测功能。例如,CozyDuke的代码会查找系统中是否存在多种安全产品,从而试图绕过这些安全产品的检测,包括卡巴斯基实验室、Sophos、DrWeb、Avira、Crystal和Comodo Dragon推出的产品。
卡巴斯基实验室安全专家不仅分析出CozyDuke具有很强的恶意程序功能,还发现其结构同MiniDuke、CosmicDuke和OnionDuke网络间谍攻击行动使用的工具存在相似之处。某些迹象表明,这一威胁应该由母语为俄语的编写者所编写和控制。卡巴斯基实验室的观察显示,MiniDuke和CosmicDuke仍在活动,并且针对多个国家的外交机构/大使馆、能源、石油和天然气企业、电信行业、军工行业以及学术研究机构进行攻击。
那么,CozyDuke究竟通过何种手段对其目标进行攻击?卡巴斯基实验室的研究表明,其攻击者经常利用鱼叉式钓鱼邮件对目标发动攻击。邮件中包含指向受感染网站的链接,有时则是被攻陷的合法网站,例如diplomacy.pl。这些网站上放置有包含恶意软件的ZIP压缩文档。其他的攻击方式还包括以邮件附件的形式发送假冒flash视频,其中包含恶意可执行文件。
此外,CozyDuke还使用一种后门程序和一种恶意程序释放器。恶意程序会将受害者的信息发送到命令和控制服务器,并从服务器获取配置文件和额外的恶意模块,执行攻击者所需要的功能。
卡巴斯基实验室全球研究和分析团队首席安全研究员 Kurt Baumgartner对此表示:“我们对MiniDuke和CosmicDuke已经监控多年。卡巴斯基实验室还是在2013年最早发现MiniDuke攻击的安全厂商,该恶意程序最‘古老’的已知样本可以追溯到2008年。毫无疑问,CozyDuke同上述两种攻击行动有联系,同时也同OnionDuke网络间谍行动有所关联。这些攻击的幕后控制者仍然在追踪其攻击目标。我们坚信,这些间谍工具均是由说俄语的恶意程序编写者所制造和控制的。”
目前,卡巴斯基实验室的产品已经能够检测和清除这一威胁的所有已知样本。为了保护广大用户免受这一威胁的感染,卡巴斯基实验室权威专家提出以下安全建议:
1. 不要打开陌生人所发送邮件中的附件和链接;
2. 使用反病毒解决方案定期扫描计算机;
3. 当心包含SFX文件的ZIP压缩文档;
4. 如果无法确定附件的安全性,请在沙盒中将其打开;
5. 确保使用较新的操作系统,并且及时安装补丁;
6. 及时更新第三方应用程序,例如 Microsoft Office、Java、Adobe Flash Player 和 Adobe Reader。