Duke Malware
Duke е всеобхватният термин, обозначаващ колекция от инструменти за зловреден софтуер, внедрени от APT29 APT (Advanced Persistent Threat) актьор. Този актьор, разпознат от множество псевдоними като The Dukes, Cloaked Ursa, CozyBear, Nobelium и UNC2452, работи в сферата на кибер проникванията. APT29 е свързан със Службата за външно разузнаване на Руската федерация (SVR RF), което означава държавно спонсориран произход от Русия. Преследванията на групата се коренят в политически и геополитически мотиви, като се фокусират върху събирането на разузнавателна информация и сферата на кибершпионажа.
Под чадъра на фамилията злонамерен софтуер Duke се крие огромен набор от заплашителен софтуер, включващ различни типове като системни задни врати, зареждащи устройства, крадци на информация, разрушители на процеси и други.
Последният случай на кампания за атака, свързана с групата The Dukes, се проведе през 2023 г. Тази кампания включваше разпространение на злонамерени PDF документи, които се камуфлираха като дипломатически покани, идващи от германското посолство. Трябва да се отбележи, че тази имейл кампания беше насочена към министерствата на външните работи на нациите, обединени от НАТО, подчертавайки стратегическото насочване на групата и потенциалните геополитически последици.
Киберпрестъпниците създадоха специализирани заплахи за зловреден софтуер Duke
Актьорът от APT, известен като The Dukes, поддържа своето оперативно присъствие поне от 2008 г., показвайки широка гама от инструменти през тези години. По-долу е представен хронологичен преглед на някои от по-известните набори от инструменти, използвани от този конкретен заплаха.
PinchDuke : Този набор от инструменти включва колекция от програми за зареждане, предназначени да въведат допълнителни заплашителни елементи или програми в компрометирани системи. Той включва програма за грабване на файлове, предназначена за ексфилтрация, и програма за крадец на идентификационни данни. Последният е насочен към различни източници на данни, включително Microsoft Authenticator (passport.net), имейл клиенти (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), браузъри (Internet Explorer, Mozilla Firefox, Netscape Navigator) и съобщения услуги (Google Talk), между другото.
GeminiDuke : Със своите възможности за зареждане и множество механизми за осигуряване на постоянство, GeminiDuke може да се похвали и с функционалности като крадец на данни, фокусиран предимно върху събирането на данни за конфигурацията на устройството. Тази информация включва потребителски акаунти, инсталирани драйвери и софтуер, работещи процеси, стартиращи програми и услуги, мрежови настройки, конкретни папки и файлове и наскоро достъпни програми и файлове.
Космически херцог (също разпознат като BotgenStudios, NemesisGemina и Tinybaron): Състоящ се от няколко зареждащи устройства, набор от компоненти за осигуряване на постоянство и модул за ескалация на привилегии, CosmicDuke се върти основно около своите способности за кражба на информация. Може да ексфилтрира файлове със специфични разширения, да експортира криптографски сертификати (включително частни ключове), да заснема екранни снимки, да записва натискания на клавиши (keylogging), да извлича идентификационни данни за влизане от браузъри, имейл клиенти и месинджъри, както и да събира съдържание от клипборда (копиране -паст буфер).
MiniDuke : Този зловреден софтуер се предлага в различни итерации, включващи функции за зареждане, изтегляне и задни вратички. MiniDuke се използва предимно за подготовка на система за последващи инфекции или за улесняване на прогресирането на такива инфекции.
Семейството на зловреден софтуер Duke продължава да се разширява
Изследователите са успели да идентифицират още няколко заплахи, принадлежащи към семейството на зловреден софтуер Duke и използвани като част от злонамерения арсенал на APT29.
CozyDuke , също познат като Cozer, CozyBear, CozyCar и EuroAPT, функционира предимно като задна врата. Основната му цел е да създаде входна точка, често наричана „задна врата“, за последващи инфекции, особено за собствените си модули. За да постигне това, той използва капкомер във връзка с множество модули, предназначени да осигурят постоянство.
Сред неговите компоненти са тези, предназначени за извличане на системни данни, изпълнение на основни команди Cmd.exe, заснемане на екранни снимки и кражба на идентификационни данни за влизане. Забележително е, че CozyDuke също притежава способността да прониква и изпълнява други файлове, което предполага потенциал за улесняване на широк спектър от инфекции със зловреден софтуер.
OnionDuke се представя като модулен зловреден софтуер с разнообразен набор от възможни конфигурации. Въоръжена с възможности за зареждане и капкане, тази програма въвежда набор от модули за кражба на информация, включително тези, фокусирани върху събиране на пароли и други чувствителни данни. В допълнение, той включва компонент, насочен към стартиране на разпределени атаки за отказ на услуга (DDoS). Друг модул е създаден за използване на компрометирани акаунти в социалните мрежи за иницииране на спам кампании, потенциално разширявайки обхвата на инфекцията.
SeaDuke , наричан още SeaDaddy и SeaDask, се откроява като междуплатформена задна врата, предназначена да работи както на Windows, така и на Linux системи. Въпреки относителната си простота, SeaDuke служи като основен набор от инструменти, основно ориентиран към изпълнение на инфилтрирани файлове за разпространение на инфекцията.
HammerDuke , известен алтернативно като HAMMERTOSS и Netduke, се очертава като проста задна врата. Забележимата му употреба е отбелязана изключително като вторична задна врата, която следва инфекция на CozyDuke.
CloudDuke също признат като CloudLook и MiniDionis, се проявява в две задни версии. Този зловреден софтуер включва функции за изтегляне и зареждане, насочени основно към извличане и инсталиране на полезни данни от предварително дефинирани местоположения, независимо дали от интернет или акаунт в Microsoft OneDrive.
От решаващо значение е да се подчертае, че перспективата актьорът от The Dukes APT да въведе нови набори от инструменти за зловреден софтуер остава значителна, освен ако операциите им не спрат. Естеството на техните дейности предполага устойчив потенциал за иновации в техните стратегии и техники.
