作者:Vavrin Chen
圖一、透過 Adobe Reader 攻擊的網路間諜程式 – MiniDuke (圖片來源)
最近,MiniDuke 這個間諜程式用不到兩周的時間劫持了 59 台電腦,包含 23 個國家的政府組織、研究機構及私人公司皆受到攻擊。MiniDuke 不同於以往的惡意程式,它有二點獨特之處:
1. 它只有 20KB 的大小,比目前多數的間諜程式小上許多
2. MiniDuke 使用組合語言 (Assembler) 撰寫,這在一般的惡意程式中相當罕見。
MiniDuke 冒充成機構或個人寄送含有 PDF 附件的電子郵件(此為一種魚叉式網路釣魚手法),該惡意 PDF 檔案利用最近已修補的 Adobe Reader 9/10/11 安全漏洞來發動攻擊。一旦使用者開啟該 PDF 檔案後,系統會自動下載惡意軟體,並連結到特定的 Twitter 帳號,之後 MiniDuke 便能夠在未經使用者允許的情況得到使用者的 Twitter 帳號,並透過加密的檔案開啟其他後門程式 (Gauss 網路間諜惡意程式 (英文)也採用相同的加密手法,避免惡意程式在不同系統中被分析識破的可能),讓駭客存取、移動和移除資料然後透過社群網路再次傳播。
提醒使用者,記得開啟作業系統中的『自動更新』功能來下載最新的資訊安全風險更新程式。當收到不在您預期的電子郵件,不管它是否『看起來像是』來自某個官方網站的郵件,不要立即開啟這些電子郵件所含的附件檔,也不要按下郵件中的任何連結,如果有任何疑問,可以打電話詢問原廠。如此便能很大程度的避免間諜程式的威脅!
參考資料
研究人員發現全球性的網絡間諜活動 (英文)
http://www.pcworld.com/article/2029517/researchers-discover-new-global-cyberespionage-campaign.html高斯:網絡間諜工具 (英文)
http://www.zdnet.com/meet-gauss-the-latest-cyber-espionage-tool-7000002405/MiniDuke 之謎:組合語言所撰寫的間諜程式攻擊政府單位 (英文)
http://www.securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_0x29A_Micro_Backdoor
駭客使用 MiniDuke 惡意程式攻擊歐洲各國政府 (英文)
http://www.guardian.co.uk/technology/2013/feb/27/hackers-attack-european-governments-minidukeMiniDuke 如何刪除 (英文)
http://labs.bitdefender.com/2013/03/more-on-miniduke-and-how-to-remove-it/早期版本的 MiniDuke 運作 (英文)
http://labs.bitdefender.com/2013/03/ealry-version-of-miniduke-ran-on-chinese-time/