繼去年3月份卡巴斯基實(shí)驗(yàn)室曝光MiniDuke后門程序后，這一高級(jí)持續(xù)性威脅活動(dòng)已有所收斂。然而就在近日，卡巴斯基實(shí)驗(yàn)室研究員發(fā)現(xiàn)舊版Miniduke植入體仍然存在，并活躍于針對(duì)政府與其他組織的攻擊活動(dòng)中。與此同時(shí)，專家們也注意到惡意程序Miniduke的新平臺(tái)BotGenStudio可能不僅為高級(jí)持續(xù)性威脅攻擊者所用，還被執(zhí)法機(jī)構(gòu)與傳統(tǒng)罪犯使用。

據(jù)了解，“新型”Miniduke后門程序具有很多功能，包括：鍵盤記錄器、通用網(wǎng)絡(luò)信息采集器、剪切板捕捉器;Microsoft Outlook和Windows地址簿竊取器;Skype、Google Chrome、Google Talk、Opera、TheBat!、Firefox和Thunderbird密碼竊取器;受保護(hù)存儲(chǔ)區(qū)機(jī)密采集器和證書/密鑰導(dǎo)出器。

與此同時(shí)，專家們還發(fā)現(xiàn)了Miniduke兩個(gè)十分特別的功能。該程序會(huì)針對(duì)所有受害者指定不同的ID，從而將特定的更新推送給某一受害者。另外，由于它所使用的定制裝入程序會(huì)占用大量CPU資源，Miniduke能夠阻止反惡意軟件解決方案通過仿真器分析植入體和檢測(cè)惡意功能。當(dāng)然，這也加大了專家們分析惡意軟件的難度。

根據(jù)卡巴斯基實(shí)驗(yàn)室專家的分析，目前Miniduke的受害者包括政府機(jī)構(gòu)、外交組織、能源部門、電信運(yùn)營商、軍事承包商以及非法違禁物品交易者。而通過卡巴斯基實(shí)驗(yàn)室專家截獲的一份受害者名單來看，受到CosmicDuke攻擊最為頻繁的國家有格魯吉亞、俄羅斯、美國、英國、哈薩克斯坦、印度、白俄羅斯、塞浦路斯、烏克蘭和立陶宛。

目前，卡巴斯基實(shí)驗(yàn)室的產(chǎn)品已經(jīng)檢測(cè)出了CosmicDuke后門程序，他們分別是Backdoor.Win32.CosmicDuke.gen和Backdoor.Win32.Generic。