CosmicDuke wurde 2014 erkannt und nutzt die alten MiniDuke-Implantate aus 2013, die noch immer vorhanden sind und in aktiven Kampagnen gegen Regierungen und andere Institutionen eingesetzt werden. Nach der Offenlegung 2013 ging der Angreifer hinter MiniDuke zu einer anderen individuellen Backdoor über. Die „neue“ MiniDuke-Backdoor (auch bekannt als TinyBaron oder CosmicDuke) kann verschiedene Arten von Informationen stehlen.
Obwohl der Angreifer hinter der MiniDuke-APT seine Kampagne abbrach oder zumindest die Intensität reduzierte, kehrten die Angriffe Anfang 2014 wieder mit voller Kraft zurück. Dieses Mal konnten wir Änderungen bei der verwendeten Angriffsart und den eingesetzten -tools feststellen.
Die „neue“ MiniDuke-Backdoor (auch bekannt als TinyBaron oder CosmicDuke) besteht aus dem Einsatz eines anpassbaren Frameworks namens BotGenStudio. Dieses Framework bietet die Flexibilität, Komponenten zu de- bzw. zu aktivieren, wenn der Bot erstellt wurde.
Die Komponenten lassen sich in drei Kategorien aufteilen:
Kaspersky-Produkte erkennen die CosmicDuke-Backdoor als: Backdoor.Win32.CosmicDuke.gen und Backdoor.Win32.Generic. Wenn Sie bereits über ein Kaspersky-Produkt verfügen, wäre die CosmicDuke-Malware bei einer Infektion bereits erkannt worden. Wenn Sie noch kein Kaspersky-Produkt nutzen, müssen Sie eines der Antiviren-Produkte von Kaspersky Lab herunterladen und installieren und die Software anschließend ausführen.