دوق البرامج الضارة

Duke هو المصطلح الشامل الذي يشير إلى مجموعة من مجموعات أدوات البرامج الضارة التي تم نشرها بواسطة ممثل APT29 APT (التهديد المستمر المتقدم). هذا الممثل ، المعترف به من قبل العديد من الأسماء المستعارة مثل The Dukes و Cloaked Ursa و CozyBear و Nobelium و UNC2452 ، يعمل في عالم الاختراقات الإلكترونية. ينتمي APT29 إلى جهاز المخابرات الأجنبية التابع للاتحاد الروسي (SVR RF) ، مما يدل على أن أصل روسيا ترعاه الدولة. تتجذر مساعي المجموعة في الدوافع السياسية والجيوسياسية ، مع التركيز على جمع المعلومات الاستخباراتية وعالم التجسس الإلكتروني.

تحت مظلة عائلة البرامج الضارة Duke ، توجد مجموعة واسعة من البرامج المهددة ، والتي تشمل أنواعًا مختلفة مثل الأبواب الخلفية للنظام ، واللوادر ، ومخفي المعلومات ، ومعطلات العمليات والمزيد.

أحدث مثال على حملة هجوم مرتبطة بمجموعة الدوقات وقعت في عام 2023. تضمنت هذه الحملة نشر مستندات PDF ضارة تمويه نفسها كدعوات دبلوماسية صادرة عن السفارة الألمانية. والجدير بالذكر أن حملة البريد الإلكتروني هذه استهدفت وزارات خارجية الدول المتحالفة مع الناتو ، مما يؤكد استهداف المجموعة الاستراتيجي والتداعيات الجيوسياسية المحتملة.

أنشأ مجرمو الإنترنت تهديدات متخصصة ببرامج Duke الضارة

حافظ ممثل APT المعروف باسم The Dukes على وجوده التشغيلي منذ عام 2008 على الأقل ، حيث عرض مجموعة واسعة من الأدوات على مدار هذه السنوات. نعرض أدناه نظرة عامة مرتبة ترتيبًا زمنيًا لبعض من أكثر مجموعات الأدوات شهرةً التي يستخدمها ممثل التهديد المحدد هذا.

PinchDuke : تتميز مجموعة الأدوات هذه بمجموعة من اللوادر المصممة لإدخال عناصر أو برامج تهديد إضافية في الأنظمة المعرضة للخطر. وهو يشتمل على ملتقط ملفات مخصص للتسلل وسارق أوراق اعتماد. يستهدف الأخير مصادر بيانات مختلفة ، بما في ذلك Microsoft Authenticator (جواز سفر دوت نت) وعملاء البريد الإلكتروني (Mail.ru و Mozilla Thunderbird و Outlook و The Bat !، Yahoo Mail) والمتصفحات (Internet Explorer و Mozilla Firefox و Netscape Navigator) والمراسلة خدمات (Google Talk) ، من بين أمور أخرى.

GeminiDuke : بفضل إمكانيات اللودر والعديد من الأساليب لضمان الثبات ، تفتخر GeminiDuke أيضًا بوظائفها باعتبارها سارق بيانات ، وتركز بشكل أساسي على جمع بيانات تكوين الجهاز. تتضمن هذه المعلومات حسابات المستخدمين ، وبرامج التشغيل المثبتة والبرامج ، والعمليات الجارية ، وبرامج وخدمات بدء التشغيل ، وإعدادات الشبكة ، والمجلدات والملفات المحددة ، والبرامج والملفات التي تم الوصول إليها مؤخرًا.

كوزميك دوق   (يُعرف أيضًا باسم BotgenStudios و NemesisGemina و Tinybaron): يتألف من عدة لوادر ومجموعة من المكونات لضمان المثابرة ووحدة لتصعيد الامتيازات ، ويدور CosmicDuke بشكل أساسي حول إمكاناته في سرقة المعلومات. يمكنه إخراج الملفات ذات الامتدادات المحددة ، وتصدير شهادات التشفير (بما في ذلك المفاتيح الخاصة) ، والتقاط لقطات الشاشة ، وتسجيل ضغطات المفاتيح (keylogging) ، واسترداد بيانات اعتماد تسجيل الدخول من المتصفحات ، وعملاء البريد الإلكتروني ، والمراسلين ، وكذلك جمع المحتوى من الحافظة (نسخ عازلة لصق).

MiniDuke : يأتي هذا البرنامج الضار في تكرارات مختلفة ، بما في ذلك وظائف المحمل والتنزيل والباب الخلفي. يتم استخدام MiniDuke في المقام الأول إما لإعداد نظام للعدوى اللاحقة أو تسهيل تطور مثل هذه العدوى.

تستمر عائلة Duke Malware في التوسع

تمكن الباحثون من تحديد العديد من التهديدات التي تنتمي إلى عائلة البرامج الضارة Duke والتي يتم استخدامها كجزء من الترسانة الضارة لـ APT29.

CozyDuke ، المعروف أيضًا باسم Cozer و CozyBear و CozyCar و EuroAPT ، يعمل بشكل أساسي كباب خلفي. والغرض الأساسي منه هو إنشاء نقطة دخول ، يشار إليها غالبًا باسم "الباب الخلفي" للعدوى اللاحقة ، ولا سيما وحداتها الخاصة. لتحقيق ذلك ، فإنه يستخدم قطارة مع وحدات متعددة مصممة لضمان المثابرة.

من بين مكوناته تلك المخصصة لاستخراج بيانات النظام ، وتنفيذ أوامر Cmd.exe الأساسية ، والتقاط لقطات الشاشة ، واختراق بيانات اعتماد تسجيل الدخول. ومن اللافت للنظر أن CozyDuke يمتلك أيضًا القدرة على التسلل إلى الملفات الأخرى وتنفيذها ، مما يعني إمكانية تسهيل مجموعة واسعة من الإصابات بالبرامج الضارة.

يقدم OnionDuke نفسه كبرنامج ضار معياري مع مجموعة متنوعة من التكوينات الممكنة. مُسلحًا بقدرات أداة التحميل والقطارة ، يقدم هذا البرنامج مجموعة من وحدات سرقة المعلومات ، بما في ذلك تلك التي تركز على تجميع كلمات المرور والبيانات الحساسة الأخرى. بالإضافة إلى ذلك ، فهو يتميز بمكون موجه نحو إطلاق هجمات رفض الخدمة الموزعة (DDoS). تم تصميم وحدة أخرى لاستغلال حسابات الشبكات الاجتماعية المخترقة لبدء حملات البريد العشوائي ، مما قد يؤدي إلى تضخيم مدى انتشار العدوى.

يبرز SeaDuke ، الذي يشار إليه أيضًا باسم SeaDaddy و SeaDask ، باعتباره بابًا خلفيًا متعدد المنصات مصممًا للعمل على أنظمة Windows و Linux. على الرغم من بساطته النسبية ، فإن SeaDuke يعمل كمجموعة أدوات أساسية ، موجهة بشكل أساسي نحو تنفيذ الملفات المخترقة لنشر العدوى.

يظهر HammerDuke ، المعروف بالتناوب باسم HAMMERTOSS و Netduke ، كباب خلفي مباشر. وقد لوحظ استخدامه الملحوظ حصريًا باعتباره بابًا خلفيًا ثانويًا يتبع عدوى CozyDuke.

تم الاعتراف بـ CloudDuke أيضًا باسم CloudLook و MiniDionis ، ويتجلى ذلك في نسختين من الأبواب الخلفية. تشتمل هذه البرامج الضارة على وظائف أداة التنزيل والتحميل ، الموجهة أساسًا إلى جلب الحمولات وتثبيتها من مواقع محددة مسبقًا ، سواء من الإنترنت أو من حساب Microsoft OneDrive.

من الأهمية بمكان التأكيد على أن احتمال قيام ممثل Dukes APT بتقديم مجموعات أدوات جديدة للبرامج الضارة يظل كبيرًا ما لم تتوقف عملياتهم. تشير طبيعة أنشطتهم إلى إمكانية مستدامة للابتكار في استراتيجياتهم وتقنياتهم.