Kaspersky Lab published a report on a new cyber espionage campaign, the main objectives of which were US organizations and government departments.
In addition to having such high-profile goals, the operation is also interesting from a technical point of view. It is noted that the CozyDuke campaign has encryption and anti-detection capabilities - in other words, the malicious code “learns” a number of security products, in particular Kaspersky Lab, Sophos, DrWeb, Avira, Crystal and Comodo Dragon, in order to avoid their recognition by them. Attackers use powerful malware in terms of features. At the same time, the structure and set of tools used allow us to suggest a connection between the campaign and such sensational cyber espionage operations as MiniDuke, CosmicDuke and OnionDuke, which, in all likelihood, are Russian-speaking creators.
As part of CozyDuke, attackers use targeted phishing techniques: they send emails with a link to a hacked site (sometimes owned by official agencies, for example, diplomacy.pl), which contains a ZIP archive with malware. Attackers can also send fraudulent flash videos containing executable malicious code as attachments to emails.
[DLMURL] https://gubbank.ru/2015/04/24/kaspersky_lab_obnaruzhila_ataku_na_gosvedomstva_ssha_110207/ [/ DLMURL]
In addition to having such high-profile goals, the operation is also interesting from a technical point of view. It is noted that the CozyDuke campaign has encryption and anti-detection capabilities - in other words, the malicious code “learns” a number of security products, in particular Kaspersky Lab, Sophos, DrWeb, Avira, Crystal and Comodo Dragon, in order to avoid their recognition by them. Attackers use powerful malware in terms of features. At the same time, the structure and set of tools used allow us to suggest a connection between the campaign and such sensational cyber espionage operations as MiniDuke, CosmicDuke and OnionDuke, which, in all likelihood, are Russian-speaking creators.
As part of CozyDuke, attackers use targeted phishing techniques: they send emails with a link to a hacked site (sometimes owned by official agencies, for example, diplomacy.pl), which contains a ZIP archive with malware. Attackers can also send fraudulent flash videos containing executable malicious code as attachments to emails.
[DLMURL] https://gubbank.ru/2015/04/24/kaspersky_lab_obnaruzhila_ataku_na_gosvedomstva_ssha_110207/ [/ DLMURL]
Original message
Kaspersky Lab опубликовала отчет о новой кампании кибершпионажа, основными целями которой стали организации и государственные ведомства США.
Помимо наличия таких высокопоставленных целей, операция также интересна с технической точки зрения. Отмечается, что кампания CozyDuke обладает возможностями шифрования и антидетектирования – другими словами, вредоносный код «изучает» ряд защитных продуктов, в частности Kaspersky Lab, Sophos, DrWeb, Avira, Crystal и Comodo Dragon, для того, чтобы избежать своего распознавания ими. Злоумышленники используют сильные с точки зрения функций вредоносные программы. При этом структура и набор применяемых инструментов позволяют предположить связь кампании с такими нашумевшими операциями кибершпионажа, как MiniDuke, CosmicDuke и OnionDuke, за которыми, по всей вероятности, стоят русскоязычные создатели.
В рамках CozyDuke атакующие используют приемы целенаправленного фишинга: они рассылают электронные сообщения с ссылкой на взломанный сайт (иногда принадлежащий официальным ведомствам, например, diplomacy.pl), на котором содержится ZIP-архив с вредоносным ПО. Также атакующие могут отправлять в качестве вложений к письмам мошеннические флеш-видео, содержащие исполняемый вредоносный код.
[DLMURL]https://gubbank.ru/2015/04/24/kaspersky_lab_obnaruzhila_ataku_na_gosvedomstva_ssha_110207/[/DLMURL]
Помимо наличия таких высокопоставленных целей, операция также интересна с технической точки зрения. Отмечается, что кампания CozyDuke обладает возможностями шифрования и антидетектирования – другими словами, вредоносный код «изучает» ряд защитных продуктов, в частности Kaspersky Lab, Sophos, DrWeb, Avira, Crystal и Comodo Dragon, для того, чтобы избежать своего распознавания ими. Злоумышленники используют сильные с точки зрения функций вредоносные программы. При этом структура и набор применяемых инструментов позволяют предположить связь кампании с такими нашумевшими операциями кибершпионажа, как MiniDuke, CosmicDuke и OnionDuke, за которыми, по всей вероятности, стоят русскоязычные создатели.
В рамках CozyDuke атакующие используют приемы целенаправленного фишинга: они рассылают электронные сообщения с ссылкой на взломанный сайт (иногда принадлежащий официальным ведомствам, например, diplomacy.pl), на котором содержится ZIP-архив с вредоносным ПО. Также атакующие могут отправлять в качестве вложений к письмам мошеннические флеш-видео, содержащие исполняемый вредоносный код.
[DLMURL]https://gubbank.ru/2015/04/24/kaspersky_lab_obnaruzhila_ataku_na_gosvedomstva_ssha_110207/[/DLMURL]
