Kaspersky Labs heeft een rapport gepubliceerd waarin wordt beschreven hoe een nieuwe, geavanceerde cyberspionagecampagne malware gebruikt om zeer specifieke, gereputeerde entiteiten aan te vallen waaronder het Witte Huis in de VS en overheidsorganisaties en commerciële organisaties in Duitsland, Zuid-Korea en Oezbekistan.
Naast het feit dat de dreigingsactor zich zeer precies richtte op bijzonder in het oog lopende slachtoffers, vertoont het nog meer verontrustende en tegelijk fascinerende kenmerken waarbij de code zoekt naar de aanwezigheid van verschillende beveiligingsproducten in een poging om deze te ontwijken.
Verbinding met andere cyberspionage-actors
De veiligheidsdeskundigen ontdekten in deze toolset sterk kwaadaardige programmafunctionaliteit, evenals structurele gelijkenissen die overeenkomen met de MiniDuke, CosmicDuke en OnionDuke cyberspionagecampagnes. Operaties waarvan men veronderstelt dat deze worden beheerd door Russischtalige auteurs en nog steeds actief zijn en zich richten op diplomatieke organisaties/ambassades, energie-, olie- en gasbedrijven, telecombedrijven, defensie en academische/onderzoeksinstellingen in een aantal landen.
Verspreidingsmethode
De CozyDuke-actor stuurt vaak spearphishing e-mails naar doelwitten met daarin bijv. een link naar een gehackte website of nep flash-video’s waarin schadelijke uitvoerbare bestanden zijn opgenomen als e-mailbijlagen. Een voorbeeld hiervan is de “Office Monkeys LOL Video.zip”. Het zip-bestand bevat een Flash-video van een paar apen in een kantoor. Bij het bekijken wordt in de achtergrond tegelijkertijd geraffineerde malware geïnstalleerd.
CozyDuke maakt gebruik van een backdoor en een dropper. Het schadelijke programma stuurt informatie over het doelwit naar de command & control server en haalt configuratiebestanden en aanvullende modules op die eventuele extra functionaliteit implementeren die de aanvallers nodig hebben.
Tips voor gebruikers
· Open geen bijlages en links van afzenders die u niet kent.
· Scan uw pc regelmatig met een geavanceerde antimalware-oplossing.
· Pas op voor ZIP-archieven die SFX-bestanden bevatten.
· Probeer bijlagen bij twijfel te openen in een sandbox.
· Zorg ervoor dat u een modern besturingssysteem hebt geïnstalleerd, inclusief alle patches.
· Update alle toepassingen van derden, zoals Microsoft Office, Java, Adobe Flash Player en Adobe Reader.
