2013年2月12日，國(guó)外著名安全公司FireEye宣布發(fā)現(xiàn)一個(gè)新的PDF 0DAY，而在近日，卡巴斯基發(fā)布報(bào)告稱，上周發(fā)現(xiàn)歐洲一系列政府和私人機(jī)構(gòu)網(wǎng)站遭到攻擊，并在網(wǎng)站上嵌入利用該P(yáng)DF 0DAY的惡意軟件，該惡意軟件被命名為MiniDuke。

卡巴斯基實(shí)驗(yàn)室與CrySyS實(shí)驗(yàn)室聯(lián)合發(fā)布了針對(duì)該攻擊的詳細(xì)分析，簡(jiǎn)要過(guò)程如下：

攻擊者在攻擊過(guò)程中，使用了非常有效到位的社會(huì)工程技術(shù)，他們會(huì)向目標(biāo)發(fā)送惡意的PDF文件，文件都是經(jīng)過(guò)精心設(shè)計(jì)，能吸引人眼球的內(nèi)容。如ASEM與烏克蘭的外交政策、加入北約的計(jì)劃等，如下圖：

一旦用戶打開(kāi)了這些PDF文件，就會(huì)從網(wǎng)絡(luò)下載一個(gè)只有20K左右大小的木馬到計(jì)算機(jī)上，該木馬是用匯編語(yǔ)言編寫(xiě)，并且通訊經(jīng)過(guò)加密處理。

如果目標(biāo)系統(tǒng)滿足攻擊者預(yù)的需求，如屬于政府、私人機(jī)構(gòu)，則在用戶不知情的情況下盜取被感染者Twitter賬戶。如果Twitter無(wú)法使用或者賬號(hào)已經(jīng)被刪除，該惡意軟件還可以通過(guò)google搜索，然后通過(guò)社交網(wǎng)絡(luò)再次進(jìn)行傳播。如下圖：

攻擊者還將一個(gè)權(quán)限較大的后門(mén)隱藏在一個(gè)GIF文件內(nèi)，如下圖：

當(dāng)該后門(mén)下載到用戶機(jī)器上，攻擊者就可以遠(yuǎn)程攻擊用戶機(jī)器，如復(fù)制文件、刪除文件、殺進(jìn)程等，通過(guò)分析發(fā)現(xiàn)，后門(mén)會(huì)連接到巴拿馬和土耳其的兩臺(tái)服務(wù)器。

目前受影響的用戶遍布23個(gè)國(guó)家，如下：

比利時(shí)，巴西，保加利亞，捷克共和國(guó)，格魯吉亞，德國(guó)，匈牙利，愛(ài)爾蘭，以色列，日本，拉脫維亞，黎巴嫩，立陶宛，黑山，葡萄牙，羅馬尼亞，俄羅斯聯(lián)邦，斯洛文尼亞，西班牙，土耳其，烏克蘭，英國(guó)和美國(guó)。