繼去年3月份卡巴斯基實(shí)驗(yàn)室曝光MiniDuke后門程序后，這一高級持續(xù)性威脅活動已有所收斂。然而就在近日，卡巴斯基實(shí)驗(yàn)室研究員發(fā)現(xiàn)舊版Miniduke植入體仍然存在，并活躍于針對政府與其他組織的攻擊活動中。與此同時，專家們也注意到惡意程序Miniduke的新平臺BotGenStudio可能不僅為高級持續(xù)性威脅攻擊者所用，還被執(zhí)法機(jī)構(gòu)與傳統(tǒng)罪犯使用。

據(jù)了解，“新型”Miniduke后門程序具有很多功能，包括：鍵盤記錄器、通用網(wǎng)絡(luò)信息采集器、剪切板捕捉器;Microsoft Outlook和Windows地址簿竊取器;Skype、Google Chrome、Google Talk、Opera、TheBat!、Firefox和Thunderbird密碼竊取器;受保護(hù)存儲區(qū)機(jī)密采集器和證書/密鑰導(dǎo)出器。

與此同時，專家們還發(fā)現(xiàn)了Miniduke兩個十分特別的功能。該程序會針對所有受害者指定不同的ID，從而將特定的更新推送給某一受害者。另外，由于它所使用的定制裝入程序會占用大量CPU資源，Miniduke能夠阻止反惡意軟件解決方案通過仿真器分析植入體和檢測惡意功能。當(dāng)然，這也加大了專家們分析惡意軟件的難度。

根據(jù)卡巴斯基實(shí)驗(yàn)室專家的分析，目前Miniduke的受害者包括政府機(jī)構(gòu)、外交組織、能源部門、電信運(yùn)營商、軍事承包商以及非法違禁物品交易者。而通過卡巴斯基實(shí)驗(yàn)室專家截獲的一份受害者名單來看，受到CosmicDuke攻擊最為頻繁的國家有格魯吉亞、俄羅斯、美國、英國、哈薩克斯坦、印度、白俄羅斯、塞浦路斯、烏克蘭和立陶宛。

目前，卡巴斯基實(shí)驗(yàn)室的產(chǎn)品已經(jīng)檢測出了CosmicDuke后門程序，他們分別是Backdoor.Win32.CosmicDuke.gen和Backdoor.Win32.Generic。