Kaspersky Lab heeft een nieuw kwaadaardige spionageprogramma ontdekt: Cozyduke. De cyberaanval is gericht op zeer specifieke doelgroep, waaronder het Witte Huis en het State Department, maar ook overheidsorganisaties en commerciële organisaties in Duitsland, Zuid-Korea en Oezbekistan. Cozyduke stuurt onder andere nep flashvideo’s van kantoorchimpansees met schadelijke bestanden.
Cozyduke stuurt spearphishing e-mails naar doelwitten. Hierin staat een link naar een gehackte website. Dit kan een legitieme website zijn zoals ‘diplomacy.pl’. De sites zijn een host voor een met malware volgestopt zip-archief. Een ander bekend voorbeeld is de nep flashvideo van Kantoorchimpansees, genaamd Office Monkeys LOL Video.zip. In de bijlagen worden schadelijk uitvoerbare bestanden toegevoegd.
Cozyduke maakt gebruik van een backdoor en een dropper. Het schadelijke programma stuurt informatie over het doelwit naar de command en control server en haalt configuratiebestanden en aanvullende modules op die eventuele extra functionaliteit implementeren die de aanvallers nodig hebben.
MiniDuke
De cyberaanval heeft sterke overeenkomsten op het gebied van programmafunctionaliteiten met de Miniduke, Cosmicduke en Onionduke cyberspionagecampagnes. Volgens Kaspersky Lab is Cozyduke verbonden aan deze drie campagnes. Er wordt veronderstelt dat deze campagnes worden beheerd door Russischtalige auteurs. Uit observaties van Kaspersky Lab blijkt dat Miniduke en Cosmicduke nog steeds actief zijn en zich richten op diplomatieke organisaties/ambassades, energie-, olie- en gasbedrijven, telecombedrijven, defensie en academische/onderzoeksinstellingen in een aantal landen.
