Duke Malware

Duke je zastřešující termín označující sbírku sad malwarových nástrojů nasazených aktérem APT29 APT (Advanced Persistent Threat). Tento herec, známý pod mnoha přezdívkami, jako jsou The Dukes, Cloaked Ursa, CozyBear, Nobelium a UNC2452, působí v oblasti kybernetických útoků. APT29 je přidružen k Zahraniční zpravodajské službě Ruské federace (SVR RF), což znamená státem sponzorovaný původ z Ruska. Pronásledování skupiny má kořeny v politických a geopolitických motivacích a zaměřuje se na shromažďování zpravodajských informací a oblast kybernetické špionáže.

Pod deštníkem rodiny malwaru Duke se skrývá rozsáhlá řada ohrožujícího softwaru zahrnujícího různé typy, jako jsou systémová zadní vrátka, nakladače, infostealery, narušovače procesů a další.

Nejnovější případ útočné kampaně spojené se skupinou The Dukes se odehrál v roce 2023. Tato kampaň zahrnovala šíření škodlivých dokumentů PDF, které se maskovaly jako diplomatické pozvánky pocházející z německého velvyslanectví. Tato e-mailová kampaň se zaměřovala zejména na ministerstva zahraničních věcí zemí spojených s NATO, což podtrhovalo strategické cílení skupiny a potenciální geopolitické důsledky.

Kyberzločinci vytvořili specializované hrozby Duke Malware

Herec APT známý jako The Dukes si udržuje svou provozní přítomnost minimálně od roku 2008 a v průběhu těchto let vystavuje širokou škálu nástrojů. Níže je uveden chronologický přehled některých nejvýznamnějších sad nástrojů používaných tímto konkrétním aktérem hrozeb.

PinchDuke : Tato sada nástrojů obsahuje sbírku zavaděčů navržených k zavedení dalších ohrožujících prvků nebo programů do napadených systémů. Zahrnuje chytač souborů určený k exfiltraci a zloděje pověření. Ten se zaměřuje na různé zdroje dat, včetně Microsoft Authenticator (passport.net), e-mailových klientů (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), prohlížečů (Internet Explorer, Mozilla Firefox, Netscape Navigator) a zasílání zpráv. mimo jiné služby (Google Talk).

GeminiDuke : Se svými funkcemi načítání a několika mechanismy pro zajištění stálosti se GeminiDuke může pochlubit také funkcemi jako zloděj dat, převážně zaměřený na sběr konfiguračních dat zařízení. Tyto informace zahrnují uživatelské účty, nainstalované ovladače a software, spuštěné procesy, spouštěcí programy a služby, nastavení sítě, konkrétní složky a soubory a programy a soubory, ke kterým jste nedávno přistupovali.

CosmicDuke   (také uznávaný jako BotgenStudios, NemesisGemina a Tinybaron): CosmicDuke se skládá z několika zavaděčů, řady komponent pro zajištění stálosti a modulu pro eskalaci oprávnění a točí se především kolem svých schopností krádeže informací. Dokáže exfiltrovat soubory se specifickými příponami, exportovat kryptografické certifikáty (včetně soukromých klíčů), pořizovat snímky obrazovky, zaznamenávat stisknuté klávesy (keylogging), získávat přihlašovací údaje z prohlížečů, e-mailových klientů a messengerů a také shromažďovat obsah ze schránky (kopírovat -vložit pufr).

MiniDuke : Tento malware přichází v různých iteracích, které zahrnují funkce zavaděče, stahování a zadních vrátek. MiniDuke se primárně používá buď k přípravě systému na následné infekce, nebo k usnadnění progrese takových infekcí.

Rodina Duke Malware se stále rozšiřuje

Výzkumníkům se podařilo identifikovat několik dalších hrozeb patřících do rodiny malwaru Duke a používaných jako součást škodlivého arzenálu APT29.

CozyDuke , také známý jako Cozer, CozyBear, CozyCar a EuroAPT, funguje především jako zadní vrátka. Jeho hlavním účelem je vytvořit vstupní bod, často označovaný jako „zadní vrátka“ pro následné infekce, zejména jeho vlastní moduly. K dosažení tohoto cíle využívá kapátko ve spojení s několika moduly navrženými tak, aby zajistily stálost.

Mezi jeho součásti patří ty, které se věnují extrakci systémových dat, provádění základních příkazů Cmd.exe, pořizování snímků obrazovky a krádežím přihlašovacích údajů. Je pozoruhodné, že CozyDuke má také schopnost infiltrovat a spouštět další soubory, což znamená potenciál usnadnit široké spektrum malwarových infekcí.

OnionDuke se prezentuje jako modulární malware s rozmanitou sadou možných konfigurací. Tento program, vybavený funkcemi zavaděče a kapátka, představuje řadu modulů pro krádeže informací, včetně těch, které se zaměřují na získávání hesel a dalších citlivých dat. Navíc obsahuje komponentu zaměřenou na spouštění útoků Distributed Denial-of-Service (DDoS). Další modul je navržen tak, aby zneužil kompromitované účty sociálních sítí k zahájení spamových kampaní, což potenciálně zesílí dosah infekce.

SeaDuke , také označovaný jako SeaDaddy a SeaDask, vyniká jako backdoor pro více platforem navržený pro provoz na systémech Windows i Linux. Přes svou relativní jednoduchost slouží SeaDuke jako základní sada nástrojů, primárně orientovaná na spouštění infiltrovaných souborů za účelem šíření infekce.

HammerDuke , známý střídavě jako HAMMERTOSS a Netduke, se ukazuje jako přímočará zadní vrátka. Jeho rozpoznatelné použití bylo výhradně zaznamenáno jako sekundární zadní vrátka, která následuje po infekci CozyDuke.

CloudDuke také uznáván jako CloudLook a MiniDionis, manifestuje se ve dvou verzích backdoor. Tento malware zahrnuje funkce stahování a načítání, primárně zaměřené na načítání a instalaci dat z předdefinovaných umístění, ať už z internetu nebo z účtu Microsoft OneDrive.

Je důležité zdůraznit, že vyhlídky herce The Dukes APT na zavedení nových sad malwarových nástrojů zůstávají značné, pokud se jejich operace nezastaví. Povaha jejich činností naznačuje trvalý potenciál pro inovace v jejich strategiích a technikách.