Речь идёт о вредоносной программе MiniDuke, впервые обнаруженной в прошлом году. Этот троян использовался для слежки за госструктурами, однако после оглашения подробностей кибератаки, активность хакеров существенно снизилась. Теперь эксперты зафиксировали возобновление вредоносной деятельности с новым размахом: расширен не только арсенал средств атаки, но и список жертв.
Новая версия троянца MiniDuke, получившая название TinyBaron или CosmicDuke, использовалась для шпионажа по всему миру. В списке стран по количеству жертв на верхних позициях находятся Грузия, Россия, США, Великобритания, Казахстан, Индия, Белоруссия, Кипр, Украина и Литва. Атаке подверглись правительственные учреждения, компании из отраслей энергетики и телекоммуникаций, военные учреждения и коммерческие организации, осуществляющие поставки для военных нужд. Теперь в сферу интересов атакующих попали частные лица, связанные с продажей и оборотом нелегальных или контролируемых веществ, таких как стероиды и гормоны (все жертвы из этой группы находятся в России).
Вредоносная программа выдаёт себя за некоторые легальные и весьма распространённые приложения, используя в том числе имена файлов, описание, иконки оригинальных программ. Даже размеры файлов трояна были искусственно увеличены, чтобы они походили на файлы легальных приложений.
Основной "новый" бэкдор Miniduke создан при использовании специального фреймворка под именем BotGenStudio, который обладает гибкостью включения/выключения функциональных компонентов на этапе сборки программы. "Лаборатория Касперского" полагают, что платформа BotGenStudio обладает некоторой универсальностью: применять её могут не только авторы, но и сторонние заказчики, предъявляющие собственные требования к функциональности.
В зависимости от настроек зловред может разными способами скрываться в системе, собирать различные наборы данных и отправлять их несколькими способами. Троян способен воровать документы разных типов, следить за клавиатурой и делать снимки экрана, красть адресные книги из почтовых приложений и пароли, сохранённые в системе и популярных мессенджерах, а также файлы сертификатов.
Вредоносная программа использует несколько видов сетевых соединений для передачи данных, включая отправку данных на FTP и три различных способа коммуникации через HTTP. Несколько видов разных HTTP-соединений пробуют использовать три различных метода, если один из них запрещен локальными настройками безопасности или блокируется защитными приложениями: это прямое TCP-соединение и HTTP-сессия через библиотеку Winsock, HTTP-сессия через функции Urlmon.dll и HTTP-сессия через "невидимый" экземпляр Internet Explorer как OLE объект.