“Cozy Duke” è la nuova minaccia collegata al famigerato MiniDuke

Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato un report relativo ad una nuova campagna di cyber spionaggio avanzato che utilizza un malware per colpire organizzazioni specifiche di alto profilo. La lista degli obiettivi a cui mirano gli attacchi del gruppo criminale include organizzazioni governative ed enti commerciali in Germania, Corea del Sud e Uzbekistan, mentre tra quelli individuati negli Stati Uniti crediamo siano inclusi la Casa Bianca e il Dipartimento di Stato.

La strategia dei criminali, di puntare a vittime di alto profilo, non è l’unico dato allarmante che è stato rilevato. Il gruppo utilizza, infatti, tecniche di crittografia e anti-rilevamento tra cui un codice che rileva la presenza di alcuni tra i più noti prodotti di sicurezza nel tentativo di eluderli: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal e Comodo Dragon.

Collegamenti con altri gruppi di cyberspionaggio

Gli esperti di sicurezza di Kaspersky Lab hanno scoperto una funzionalità particolarmente forte di un programma malevolo, così come alcune similitudini strutturali che collegano questo toolset con alcune note campagne di cyber spionaggio: MiniDuke, CosmicDuke e OnionDuke. In base ad una serie di indizi siamo giunti alla conclusione che queste operazioni vengono gestite da criminali di lingua russa. Secondo gli esperti di Kaspersky Lab, MiniDuke e CosmicDuke sono ancora attivi e prendono di mira organizzazioni diplomatiche e ambasciate, aziende che operano nel settore dell’energia e delle telecomunicazioni, militari, istituti di ricerca e accademie in diversi paesi.

Metodo di distribuzione

Il gruppo di criminali CozyDuke per raggiungere il proprio target spesso utilizza email di spear phishing: messaggi contenenti un link ad un sito web compromesso – talvolta si tratta di siti legittimi di alto profilo come ‘diplomacy.pl’ – che ospita un archivio ZIP contenente un malware. Il gruppo è anche noto come come CozyBear, CozyCar o “Office Monkeys”, in onore dei video utilizzati come esca, infatti, alcune delle mail inviate contenevano video flash falsi con file eseguibili dannosi inviati come allegati dei messaggi di posta.

CozyDuke utilizza una backdoor e un dropper. Il programma malevolo invia informazioni sulla vittima al server di comando e controllo e recupera i file di configurazione e i moduli aggiuntivi implementando una funzionalità aggiuntiva necessaria per i criminali.

“Abbiamo monitorato sia MiniDuke che CosmicDuke per un paio di anni. Kaspersky Lab è stata la prima, nel 2013, a mettere in guardia gli utenti circa gli attacchi del gruppo MiniDuke. Ricordiamo che i “vecchi” campioni malware di questa minaccia informatica risalgono al 2008. CozyDuke è sicuramente collegata a queste due campagne, così come all’operazione di cyberespionaggio OnionDuke. Questi gruppi continuano a tracciare le proprie vittime e siamo convinti che gli strumenti di spionaggio utilizzati vengano creati e gestiti da criminali di lingua russa,” –  dice Kurt Baumgartner, Principal Security Researcher presso il Global Research and Analysis Team di Kaspersky Lab.