Duke Malware

Duke er det overordnede udtryk, der betegner en samling af malware-værktøjssæt, der er implementeret af APT29 APT-aktøren (Advanced Persistent Threat). Denne skuespiller, der er anerkendt af flere aliaser såsom The Dukes, Cloaked Ursa, CozyBear, Nobelium og UNC2452, opererer inden for cyberindtrængning. APT29 er tilknyttet Den Russiske Føderations Foreign Intelligence Service (SVR RF), hvilket betyder en statssponsoreret oprindelse fra Rusland. Gruppens forfølgelser er forankret i politiske og geopolitiske motiver, med fokus på efterretningsindsamling og cyberspionage.

Under paraplyen af Duke malware-familien ligger en ekspansiv vifte af truende software, der omfatter forskellige typer som systembagdøre, indlæsere, infostealere, procesforstyrre og mere.

Det seneste tilfælde af en angrebskampagne i forbindelse med The Dukes-gruppen fandt sted i 2023. Denne kampagne involverede spredning af ondsindede PDF-dokumenter, der kamuflerede sig selv som diplomatiske invitationer, der stammede fra den tyske ambassade. Navnlig var denne e-mail-kampagne rettet mod udenrigsministerierne i nationer, der er på linje med NATO, hvilket understregede gruppens strategiske målretning og potentielle geopolitiske implikationer.

Cyberkriminelle skabte specialiserede Duke Malware-trusler

APT-skuespilleren kendt som The Dukes har bevaret sin operationelle tilstedeværelse siden mindst 2008 og har udstillet en lang række værktøjer i løbet af disse år. Nedenfor præsenteres en kronologisk oversigt over nogle af de mere fremtrædende værktøjssæt, som denne særlige trusselsaktør anvender.

PinchDuke : Dette værktøjssæt indeholder en samling af indlæsere designet til at introducere yderligere truende elementer eller programmer i kompromitterede systemer. Det omfatter en fil-grabber beregnet til eksfiltrering og en legitimationstyver. Sidstnævnte er rettet mod forskellige datakilder, herunder Microsoft Authenticator (passport.net), e-mail-klienter (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), browsere (Internet Explorer, Mozilla Firefox, Netscape Navigator) og messaging tjenester (Google Talk), blandt andre.

GeminiDuke : Med sine loader-kapaciteter og flere mekanismer til at sikre vedholdenhed kan GeminiDuke også prale af funktionaliteter som en datatyver, der overvejende fokuserer på at indsamle enhedskonfigurationsdata. Disse oplysninger omfatter brugerkonti, installerede drivere og software, kørende processer, opstartsprogrammer og -tjenester, netværksindstillinger, specifikke mapper og filer og nyligt tilgåede programmer og filer.

CosmicDuke   (også anerkendt som BotgenStudios, NemesisGemina og Tinybaron): CosmicDuke, der består af adskillige loadere, en række komponenter for at sikre vedholdenhed og et modul til privilegieeskalering, drejer sig primært om dets informationsstjælende muligheder. Det kan eksfiltrere filer med specifikke udvidelser, eksportere kryptografiske certifikater (inklusive private nøgler), fange skærmbilleder, optage tastetryk (keylogging), hente login-legitimationsoplysninger fra browsere, e-mail-klienter og messengers samt indsamle indhold fra udklipsholderen (kopi -pasta buffer).

MiniDuke : Denne malware kommer i forskellige iterationer, der omfatter en loader, downloader og bagdørsfunktioner. MiniDuke bruges primært til enten at forberede et system til efterfølgende infektioner eller lette udviklingen af sådanne infektioner.

Duke Malware-familien udvider sig fortsat

Forskere har formået at identificere flere flere trusler, der tilhører Duke malware-familien og bliver brugt som en del af det ondsindede arsenal af APT29.

CozyDuke , også anerkendt som Cozer, CozyBear, CozyCar og EuroAPT, fungerer primært som en bagdør. Dens kerneformål er at etablere et indgangspunkt, ofte omtalt som en 'bagdør', for efterfølgende infektioner, især dets egne moduler. For at opnå dette anvender den en dropper sammen med flere moduler designet til at sikre vedholdenhed.

Blandt dets komponenter er dem, der er dedikeret til at udtrække systemdata, udføre grundlæggende Cmd.exe-kommandoer, tage skærmbilleder og stjæle login-legitimationsoplysninger. Bemærkelsesværdigt besidder CozyDuke også evnen til at infiltrere og eksekvere andre filer, hvilket antyder potentialet til at facilitere et bredt spektrum af malware-infektioner.

OnionDuke præsenterer sig selv som modulær malware med et mangfoldigt sæt af mulige konfigurationer. Bevæbnet med loader- og dropper-funktioner introducerer dette program en række informationstjælende moduler, inklusive dem, der fokuserer på at høste adgangskoder og andre følsomme data. Derudover har den en komponent, der er gearet til at lancere Distributed Denial-of-Service (DDoS)-angreb. Et andet modul er udviklet til at udnytte kompromitterede sociale netværkskonti til at starte spamkampagner, hvilket potentielt øger rækkevidden af infektionen.

SeaDuke , også omtalt som SeaDaddy og SeaDask, skiller sig ud som en bagdør på tværs af platforme designet til at fungere på både Windows- og Linux-systemer. På trods af sin relative enkelhed fungerer SeaDuke som et grundlæggende værktøjssæt, primært orienteret mod at eksekvere infiltrerede filer for at udbrede infektionen.

HammerDuke , kendt skiftevis som HAMMERTOSS og Netduke, fremstår som en ligefrem bagdør. Dens mærkbare brug er udelukkende blevet bemærket som en sekundær bagdør, der følger en CozyDuke-infektion.

CloudDuke også anerkendt som CloudLook og MiniDionis, manifesterer sig i to bagdørsversioner. Denne malware omfatter downloader og loader-funktioner, primært rettet mod at hente og installere nyttelaster fra foruddefinerede placeringer, uanset om det er fra internettet eller en Microsoft OneDrive-konto.

Det er afgørende at understrege, at udsigten til, at The Dukes APT-skuespilleren introducerer nye malware-værktøjssæt, forbliver betydelige, medmindre deres operationer stopper. Arten af deres aktiviteter tyder på et vedvarende potentiale for innovation i deres strategier og teknikker.