2013年2月12日，國外著名安全公司FireEye宣布發(fā)現(xiàn)一個新的PDF 0DAY，而在近日，卡巴斯基發(fā)布報告稱，上周發(fā)現(xiàn)歐洲一系列政府和私人機構網(wǎng)站遭到攻擊，并在網(wǎng)站上嵌入利用該PDF 0DAY的惡意軟件，該惡意軟件被命名為MiniDuke。

卡巴斯基實驗室與CrySyS實驗室聯(lián)合發(fā)布了針對該攻擊的詳細分析，簡要過程如下：

攻擊者在攻擊過程中，使用了非常有效到位的社會工程技術，他們會向目標發(fā)送惡意的PDF文件，文件都是經(jīng)過精心設計，能吸引人眼球的內(nèi)容。如ASEM與烏克蘭的外交政策、加入北約的計劃等，如下圖：

一旦用戶打開了這些PDF文件，就會從網(wǎng)絡下載一個只有20K左右大小的木馬到計算機上，該木馬是用匯編語言編寫，并且通訊經(jīng)過加密處理。

如果目標系統(tǒng)滿足攻擊者預的需求，如屬于政府、私人機構，則在用戶不知情的情況下盜取被感染者Twitter賬戶。如果Twitter無法使用或者賬號已經(jīng)被刪除，該惡意軟件還可以通過google搜索，然后通過社交網(wǎng)絡再次進行傳播。如下圖：

攻擊者還將一個權限較大的后門隱藏在一個GIF文件內(nèi)，如下圖：

當該后門下載到用戶機器上，攻擊者就可以遠程攻擊用戶機器，如復制文件、刪除文件、殺進程等，通過分析發(fā)現(xiàn)，后門會連接到巴拿馬和土耳其的兩臺服務器。

目前受影響的用戶遍布23個國家，如下：

比利時，巴西，保加利亞，捷克共和國，格魯吉亞，德國，匈牙利，愛爾蘭，以色列，日本，拉脫維亞，黎巴嫩，立陶宛，黑山，葡萄牙，羅馬尼亞，俄羅斯聯(lián)邦，斯洛文尼亞，西班牙，土耳其，烏克蘭，英國和美國。