Miniduke возвращается: Nemesis Gemina и Botgen Studio
Viruslist.com
В 2013 году вместе с партнерами из CrySyS Lab, мы [опубликовали][1] наше исследование по APT атаке, получившей название "Miniduke". Эта атака выделялась от всех остальных по ряду причин, включая следующие:
* Использование нестандартного бэкдора, написанного на языке Ассемблер (кому понадобилось писать на Ассемблере в век Java и .NET?)
* Уникальный механизма управления, который использует некоторые резервные каналы, такие как сообщения в Twitter
* Использование скрытной передачи дополнительных исполняемых файлов, замаскированных под GIF изображения (некий вариант стеганографии)
Мы уже отмечали, что атакующие используют вредоносный код, разработанный с использованием некоторых техник и особенностей хакеров «старой школы».
Наш анализ [продолжили][2] исследователи из CIRCL/Люксембург, а также несколько антивирусных компаний. Недавно нам стало известно о [публикации][3] F-Secure об этом же зловреде (под именем "CosmicDuke").
После ряда [публикаций][4] в 2013 Miniduke приостановил или как минимум замедлил интенсивность атак. Однако в начале 2014 года атакующие продолжили работать в полную мощь, что привлекло наше внимание.
Мы считаем, что настало время раскрыть некоторые новые детали их операций.
[1]: https://www.securelist.com/en/blog?weblogid=208194165
[2]: http://www.circl.lu/assets/files/tr-14/circl-analysisreport-miniduke-stage3-public.pdf
[3]: http://www.f-secure.com/static/doc/labs_global/Whitepapers/cosmicduke_whitepaper.pdf
[4]: https://www.securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_0x29A_Micro_Backdoor
URL: http://www.securelist.com/ru/blog/208211730/Miniduke_vozvrashchaetsya_Nemesis_Gemina_i_Botgen_Studio