新闻链接：http://www.freebuf.com/news/65614.html
   新闻时间：2015-04-24
   新闻正文： 卡巴斯基实验室发现另一名为CozyDuke的APT攻击组织，可能就是此前入侵美国国务院和白宫的黑手，当时该组织窃取了美国总统奥巴马的通信、日程安排等非公开敏感信息。

攻击手段

钓鱼邮件是CozyDuke APT组织攻击的主要方式，虽然没什么新鲜感，但是其内容却花样繁多，如邮件中可能附一个受攻击者控制的恶意网站链接，或者会附上下面含有恶意程序的Flash视频……

一旦成功安装在受害者机器，它首先会检查设备上当前安装的一些防护软件，如卡巴斯基、 Avira、 Comodo、Crystal Security、Dr. Web和Sophos，然后找出逃避方法。它通常会使用假冒的Intel和AMD数字证书来逃避杀毒软件的检测。

“葫芦兄弟”：CozyDuke、CosmicDuke、MiniDuke、OnionDuke

通过调查发现，CozyDuke和CosmicDuke、MiniDuke、OnionDuke等APT组织很相似，可能是来自于同一家族或者同一国度的缘故。

卡巴斯基的专家发现CozyDuke使用的一个二级模块Show.dll和OnionDuke使用的一样。这是不是说明CozyDuke和OnionDuke的作者是同一个人或者在一起工作？另外恶意代码和C&C服务器之间的通信方式也一样。

俄罗斯政府赞助？

卡巴斯基实验室全球研究分析小组的首席研究员Baumgartner坚持认为：CozyDuke肯定和入侵美国国务院和白宫有关，并且他们使用的间谍工具是由说俄语的黑客开发出来。（PS：会说俄语的未必是俄罗斯人吧）

目前各媒体及其相关专家们却对美国国务院和白宫是由俄罗斯黑客入侵深信不疑。

[课程]Android-CTF解题方法汇总！