Οι στόχοι στις ΗΠΑ πιστεύεται ότι περιλαμβάνουν τον Λευκό Οίκο και το Στέιτ Ντιπάρτμεντ, ενώ ο κατάλογος των επιτιθέμενων περιλαμβάνει επίσης κυβερνητικούς οργανισμούς και νομικά πρόσωπα/εμπορικές οντότητες στη Γερμανία, τη Νότια Κορέα και το Ουζμπεκιστάν.
Παράλληλα με την πολύ ακριβή στόχευση υψηλόβαθμων θυμάτων, ο απειλητικός φορέας παρουσιάζει κι άλλα πιο ανησυχητικά χαρακτηριστικά. Σε αυτά περιλαμβάνονται δυνατότητες κρυπτογράφησης και αποφυγής εντοπισμού. Για παράδειγμα, ο κώδικας «ψάχνει» την παρουσία προϊόντων ασφάλειας (από διάφορους παρόχους), προκειμένου να προσπαθήσει να τα αποφύγει. Οι εταιρείες τα προϊόντα των οποίων προσπαθεί να αποφύγει είναι η Kaspersky Lab, η Sophos, η DrWeb, η Avira, η Crystal και η ComodoDragon.
Οι ειδικοί της Kaspersky Lab αποκάλυψαν την ισχυρή λειτουργικότητα του κακόβουλου προγράμματος, καθώς και δομικές ομοιότητες που ταίριαζαν με το «πακέτο» εργαλείων που χρησιμοποιούταν στις εκστρατείες ψηφιακής κατασκοπείας MiniDuke, CosmicDuke και OnionDuke. Σύμφωνα με μια σειρά δεικτών, πιστεύεται ότι η διαχείριση των σχετικών επιχειρήσεων γίνεται από Ρωσόφωνους δημιουργούς.
Οι παρατηρήσεις της Kaspersky Lab δείχνουν ότι οι φορείς MiniDuke και CosmicDuke είναι ακόμα ενεργοί και στρέφονται ενάντια σε διπλωματικούς οργανισμούς/πρεσβείες, εταιρείες ενέργειας και υδρογονανθράκων, παρόχους τηλεπικοινωνιών, στρατιωτικούς οργανισμούς, ακαδημαϊκά και ερευνητικά ιδρύματα σε διάφορες χώρες.
Ο φορέας CozyDuke επιτίθεται συχνά στους στόχους του μέσω spearphishing email, τα οποία περιέχουν ένα σύνδεσμο που οδηγεί σε μια παραβιασμένη ιστοσελίδα (μερικές φορές σε υψηλού προφίλ, νόμιμες όπως το diplomacy.pl),οι οποίες φιλοξενούν ένα αρχείο ZIP που περιέχει κακόβουλο λογισμικό. Σε άλλες εξαιρετικά επιτυχημένες επιχειρήσεις, ο φορέας αυτός στέλνει ένα πλαστό flash βίντεο με κακόβουλα εκτελέσιμα αρχεία, που περιλαμβάνονται ως συνημμένα σε email.
Το λογισμικό CozyDuke χρησιμοποιεί ένα backdoor και ένα dropper. Το κακόβουλο πρόγραμμα στέλνει πληροφορίες σχετικά με το στόχο στον Command & Control Server. Επίσης, ανακτά τα αρχεία ρυθμίσεων και επιπρόσθετες μονάδες που εκτελούν οποιαδήποτε πρόσθετη λειτουργικότητα χρειάζονται οι επιτιθέμενοι.
Συμβουλές για τους χρήστες
▪ Μην ανοίγετε συνημμένα αρχεία και συνδέσμους από αποστολείς που δεν γνωρίζετε
▪ Να κάνετε σάρωση τακτικά στον υπολογιστή σας με μια προηγμένη anti-malware λύση
▪ Να δείχνετε προσοχή στα αρχεία ZIP που περιέχουν SFX αρχεία
▪ Αν δεν είστε βέβαιοι για το συνημμένο αρχείο, δοκιμάστε να το ανοίξετε σε περιβάλλον sandbox
▪ Βεβαιωθείτε ότι διαθέτετε ένα ενημερωμένο λειτουργικό σύστημα, με όλα τα απαραίτητα patches εγκατεστημένα
▪ Να ενημερώνετε όλες τις εφαρμογές τρίτων, όπως το Microsoft Office, η Java, το Adobe Flash Player και το Adobe Reader
