Pull to refresh
0
Rating

Новая версия вредоносного ПО Duqu используется для кибершпионажа

ESET NOD32 corporate blog
Вчера наши аналитики добавили в базу новые записи в рамках обновления 11766: Win64/Duqu.AA, Win64/Duqu.AB, Win32/Duqu.D, Win32/Duqu.E. Записи относятся к 64- и 32-битным версиям файлов новой версии известного вредоносного state-sponsored-ПО под названием Duqu (aka Duqu.B). Эта версия, как и предыдущая, использовалась в операциях кибершпионажа (т. н. intelligence-gathering attacks) против различных телекоммуникационных компаний, а также security-компаний (Kaspersky). С помощью нее злоумышленники пытались извлечь различные конфиденциальные данные с компьютеров корпоративных жертв.



По информации Symantec, Duqu.B использовался для кибератак на телекоммуникационные компании Европы, а также Северной Африки. Кроме этого, жертвами могли стать пользователи США, Великобритании, Швеции, Индии, и Гонконга.

Исследовательский центр Crysys (The Laboratory of Cryptography and System Security) опубликовал детальный сравнительный отчет обоих версий Duqu, из которого видно, что между ними много общего.

  • Схожие функции расшифровки строк, в которых указаны названия антивирусных продуктов.
  • Схожие характеристики, которые относятся к шифрованию файлов с использованием алгоритма AES.
  • В обоих версиях используется нестандартный CBC-режим работы алгоритма шифрования AES.
  • В обоих версиях используется практически идентичный модуль, который отвечает за ведение лога (logging) действий вредоносной программы.
  • Схожий стиль кодирования вредоносной программы с использованием C++ и схожий стиль компиляции.

64-битные исполняемые файлы этой вредоносной программы можно найти на сервисе VirusTotal.

SHA256: 8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192
www.virustotal.com/en/file/8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192/analysis

SHA256: 6de1bb58ae3c37876c6372208366f5548fcc647ffd19ad1d31cebd9069b8a559
www.virustotal.com/en/file/6de1bb58ae3c37876c6372208366f5548fcc647ffd19ad1d31cebd9069b8a559/analysis

SHA256: 2a9a5afc342cde12c6eb9a91ad29f7afdfd8f0fb17b983dcfddceccfbc17af69
www.virustotal.com/en/file/2a9a5afc342cde12c6eb9a91ad29f7afdfd8f0fb17b983dcfddceccfbc17af69/analysis

SHA256: 9900c91f6d754f15f73729ce5a4333a718463e24aa7e6192c7527ec5c80dac42
www.virustotal.com/en/file/9900c91f6d754f15f73729ce5a4333a718463e24aa7e6192c7527ec5c80dac42/analysis
Tags:
Hubs:
Total votes 6: ↑5 and ↓1 +4
Views 6.2K
Comments Leave a comment

Information

Founded
Location
Словакия
Website
www.esetnod32.ru
Employees
1,001–5,000 employees
Registered