赛门铁克安全研究人员对发动Duke间谍活动所使用的恶意软件Trojan.Seaduke进行了分析。这款恶意软件曾经针对全球多个政府组织机构发动攻击。
Seaduke与Duke间谍活动使用的其他恶意代码有很多相似之处,如CosmicDuke、CozyDuke、MiniDuke、及OnionDuke等。因此,恶意软件研究人员认为背后的开发人员也相同。
赛门铁克指出,“Seaduke背后的间谍团伙发动了针对欧美多地政府、国际政策及私有研究机构中高级别个人及组织机构的多次攻击。间谍组织拥有多个恶意软件工具。Duke团伙在2015年三月及四月为人熟知,当时报道将恶意攻击者称为Office Moneys、EuroAPT、Cozy Bear及Cozyduke等。赛门铁克认为这个组织至少从2010年起就发动针对政府及外交组织机构的攻击。
安全专家认为MiniDuke、OnionDuke以及CosmicDuke由讲俄语的恶意作者管理,而一些来源似乎也拥有CozyDuke。安全专家表示,从CozyDuke的关键组成部分来看,手法很像由国家支持的网络犯罪团伙APT28。该犯罪团伙曾针对美国国务院及白宫发动网络攻击。
CozyDuke恶意软件利用Seaduke在目标系统上发动攻击。CozyDuke从被攻陷的网站上下载并执行恶意代码。
安全专家强调指出,Seaduke仅用来针对重要目标发动攻击并窃取敏感数据。Seaduke恶意软件拥有模块结构,可通过下载具体有效负载来执行多个动作。
Seaduke有效负载允许恶意软件执行以下行动:
利用Kerberos pass-the-ticket攻击模拟(Mimikatz Powershell)
归档敏感信息
通过合法云服务实施数据渗透
安全地删除文件
研究人员指出,Seaduke的幕后黑手将200多个被攻陷的网络服务器作为控制基础架构。
赛门铁克指出,“这个恶意软件隐藏了多个加密曾及混淆,并且有能力悄悄从受害者计算机上窃取并提取敏感信息如电子邮件。Seaduke拥有高配置框架,而且赛门铁克已在被攻陷网络上发现数百个不同的配置。”