Duke Malware
Duke és el terme general que denota una col·lecció de conjunts d'eines de programari maliciós desplegat per l'actor APT29 APT (Amenaça persistent avançada). Aquest actor, reconegut per múltiples àlies com ara The Dukes, Cloaked Ursa, CozyBear, Nobelium i UNC2452, opera dins de l'àmbit de les intrusions cibernètiques. APT29 està afiliat al Servei d'Intel·ligència Exterior de la Federació de Rússia (SVR RF), cosa que significa un origen patrocinat per l'estat de Rússia. Les activitats del grup estan arrelades en motivacions polítiques i geopolítiques, centrades en la recollida d'intel·ligència i l'àmbit del ciberespionatge.
Sota el paraigua de la família de programari maliciós Duke hi ha una àmplia gamma de programari amenaçador, que inclou diversos tipus, com ara portes posteriors del sistema, carregadors, robatoris d'informació, interruptors de processos i molt més.
La instància més recent d'una campanya d'atac associada al grup The Dukes va tenir lloc l'any 2023. Aquesta campanya va implicar la difusió de documents PDF maliciosos que es van camuflar com a invitacions diplomàtiques provinents de l'ambaixada alemanya. En particular, aquesta campanya de correu electrònic es va dirigir als ministeris d'Afers Exteriors de les nacions alineades amb l'OTAN, subratllant l'orientació estratègica del grup i les possibles implicacions geopolítiques.
Els cibercriminals van crear amenaces especialitzades de programari maliciós Duke
L'actor de l'APT conegut com The Dukes ha mantingut la seva presència operativa almenys des del 2008, exhibint una àmplia gamma d'eines al llarg d'aquests anys. A continuació es presenta una visió cronològica d'alguns dels conjunts d'eines més destacats utilitzats per aquest actor d'amenaça en particular.
PinchDuke : aquest conjunt d'eines inclou una col·lecció de carregadors dissenyats per introduir elements o programes amenaçadors addicionals en sistemes compromesos. Inclou un capturador de fitxers destinat a l'exfiltració i un robatori de credencials. Aquest últim s'adreça a diverses fonts de dades, com ara Microsoft Authenticator (passport.net), clients de correu electrònic (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), navegadors (Internet Explorer, Mozilla Firefox, Netscape Navigator) i missatgeria. serveis (Google Talk), entre d'altres.
GeminiDuke : amb les seves capacitats de carregador i múltiples mecanismes per garantir la persistència, GeminiDuke també compta amb funcionalitats com a robador de dades, centrat principalment a recollir dades de configuració del dispositiu. Aquesta informació inclou comptes d'usuari, controladors i programari instal·lats, processos en execució, programes i serveis d'inici, configuració de xarxa, carpetes i fitxers específics i programes i fitxers accedits recentment.
CosmicDuke (també reconegut com a BotgenStudios, NemesisGemina i Tinybaron): que inclou diversos carregadors, una gamma de components per garantir la persistència i un mòdul per a l'escalada de privilegis, CosmicDuke gira principalment al voltant de les seves capacitats de robatori d'informació. Pot exfiltrar fitxers amb extensions específiques, exportar certificats criptogràfics (incloses les claus privades), capturar captures de pantalla, registrar les pulsacions de tecla (registrament de tecles), recuperar les credencials d'inici de sessió dels navegadors, clients de correu electrònic i missatgers, així com recollir contingut del porta-retalls (còpia). - enganxa buffer).
MiniDuke : aquest programari maliciós es presenta en diverses iteracions, que inclouen funcions de carregador, descàrrega i porta posterior. MiniDuke s'utilitza principalment per preparar un sistema per a infeccions posteriors o per facilitar la progressió d'aquestes infeccions.
La família de programari maliciós Duke continua ampliant-se
Els investigadors han aconseguit identificar diverses amenaces més que pertanyen a la família de programari maliciós Duke i que s'utilitzen com a part de l'arsenal maliciós d'APT29.
CozyDuke , també reconegut com a Cozer, CozyBear, CozyCar i EuroAPT, funciona principalment com a porta del darrere. El seu propòsit principal és establir un punt d'entrada, sovint anomenat "porta del darrere", per a infeccions posteriors, especialment els seus propis mòduls. Per aconseguir-ho, utilitza un comptagotes juntament amb diversos mòduls dissenyats per garantir la persistència.
Entre els seus components hi ha els dedicats a extreure dades del sistema, executar ordres fonamentals de Cmd.exe, capturar captures de pantalla i robar les credencials d'inici de sessió. Notablement, CozyDuke també té la capacitat d'infiltrar-se i executar altres fitxers, la qual cosa implica el potencial de facilitar un ampli espectre d'infeccions de programari maliciós.
OnionDuke es presenta com un programari maliciós modular amb un conjunt divers de configuracions possibles. Armat amb capacitats de carregador i comptagotes, aquest programa introdueix una sèrie de mòduls de robatori d'informació, inclosos els centrats en la recollida de contrasenyes i altres dades sensibles. A més, inclou un component orientat a llançar atacs de denegació de servei distribuït (DDoS). S'ha dissenyat un altre mòdul per explotar comptes de xarxes socials compromesos per iniciar campanyes de correu brossa, que pot amplificar l'abast de la infecció.
SeaDuke , també conegut com SeaDaddy i SeaDask, destaca com una porta posterior multiplataforma dissenyada per funcionar tant en sistemes Windows com Linux. Malgrat la seva relativa simplicitat, SeaDuke serveix com a conjunt d'eines fonamentals, principalment orientat a executar fitxers infiltrats per propagar la infecció.
HammerDuke , conegut alternativament com HAMMERTOSS i Netduke, emergeix com una porta del darrere senzilla. El seu ús perceptible s'ha assenyalat exclusivament com a porta posterior secundària que segueix una infecció per CozyDuke.
CloudDuke també reconegut com CloudLook i MiniDionis, es manifesta en dues versions de porta posterior. Aquest programari maliciós inclou funcionalitats de descàrrega i carregador, dirigides principalment a obtenir i instal·lar càrregues útils des d'ubicacions predefinides, ja sigui d'Internet o d'un compte de Microsoft OneDrive.
És crucial subratllar que la perspectiva que l'actor de The Dukes APT introdueixi nous conjunts d'eines de programari maliciós segueix sent considerable tret que les seves operacions s'aturin. La naturalesa de les seves activitats suggereix un potencial sostingut d'innovació en les seves estratègies i tècniques.
