Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Duke Malware

Duke Malware

Μέχρι το Mezo το Malware, Advanced Persistent Threat (APT)
Μετάφραση σε:
Ελληνικά

Το Duke είναι ο γενικός όρος που υποδηλώνει μια συλλογή από σύνολα εργαλείων κακόβουλου λογισμικού που έχουν αναπτυχθεί από τον ηθοποιό του APT29 APT (Advanced Persistent Threat). Αυτός ο ηθοποιός, που αναγνωρίζεται από πολλαπλά ψευδώνυμα, όπως το The Dukes, το Cloaked Ursa, το CozyBear, το Nobelium και το UNC2452, λειτουργεί στη σφαίρα των εισβολών στον κυβερνοχώρο. Το APT29 συνδέεται με την Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσικής Ομοσπονδίας (SVR RF), υποδηλώνοντας μια κρατική προέλευση από τη Ρωσία. Οι επιδιώξεις της ομάδας έχουν τις ρίζες τους σε πολιτικά και γεωπολιτικά κίνητρα, εστιάζοντας στη συλλογή πληροφοριών και στη σφαίρα της κυβερνοκατασκοπείας.

Κάτω από την ομπρέλα της οικογένειας κακόβουλου λογισμικού Duke βρίσκεται μια εκτεταμένη σειρά απειλητικών λογισμικών, που περιλαμβάνει διάφορους τύπους όπως κερκόπορτες συστήματος, φορτωτές, κλοπές πληροφοριών, διαταράκτες διαδικασιών και πολλά άλλα.

Η πιο πρόσφατη περίπτωση εκστρατείας επίθεσης που σχετίζεται με την ομάδα The Dukes έλαβε χώρα το 2023. Αυτή η εκστρατεία περιλάμβανε τη διάδοση κακόβουλων εγγράφων PDF που καμουφλάρονταν ως διπλωματικές προσκλήσεις που προέρχονταν από τη γερμανική πρεσβεία. Συγκεκριμένα, αυτή η εκστρατεία ηλεκτρονικού ταχυδρομείου στόχευε τα υπουργεία Εξωτερικών των εθνών που ευθυγραμμίζονται με το ΝΑΤΟ, υπογραμμίζοντας τη στρατηγική στόχευση της ομάδας και τις πιθανές γεωπολιτικές επιπτώσεις.

Οι κυβερνοεγκληματίες δημιούργησαν εξειδικευμένες απειλές κακόβουλου λογισμικού του Duke

Ο ηθοποιός του APT γνωστός ως The Dukes έχει διατηρήσει την επιχειρησιακή του παρουσία τουλάχιστον από το 2008, παρουσιάζοντας μια εκτεταμένη σειρά εργαλείων κατά τη διάρκεια αυτών των ετών. Παρακάτω παρουσιάζεται μια χρονολογική επισκόπηση ορισμένων από τα πιο σημαντικά σύνολα εργαλείων που χρησιμοποιούνται από αυτόν τον συγκεκριμένο παράγοντα απειλής.

PinchDuke : Αυτή η εργαλειοθήκη διαθέτει μια συλλογή φορτωτών που έχουν σχεδιαστεί για να εισάγουν πρόσθετα απειλητικά στοιχεία ή προγράμματα σε παραβιασμένα συστήματα. Περιλαμβάνει έναν αρπαγή αρχείων που προορίζεται για διήθηση και έναν κλέφτη διαπιστευτηρίων. Το τελευταίο στοχεύει διάφορες πηγές δεδομένων, συμπεριλαμβανομένου του Microsoft Authenticator (passport.net), των πελατών email (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), προγράμματα περιήγησης (Internet Explorer, Mozilla Firefox, Netscape Navigator) και ανταλλαγής μηνυμάτων υπηρεσίες (Google Talk), μεταξύ άλλων.

GeminiDuke : Με τις δυνατότητες φόρτωσης και τους πολλαπλούς μηχανισμούς που εξασφαλίζουν ανθεκτικότητα, το GeminiDuke διαθέτει επίσης λειτουργίες ως κλέφτης δεδομένων, που επικεντρώνονται κυρίως στη συλλογή δεδομένων διαμόρφωσης συσκευών. Αυτές οι πληροφορίες περιλαμβάνουν λογαριασμούς χρηστών, εγκατεστημένα προγράμματα οδήγησης και λογισμικό, εκτελούμενες διαδικασίες, προγράμματα και υπηρεσίες εκκίνησης, ρυθμίσεις δικτύου, συγκεκριμένους φακέλους και αρχεία, καθώς και προγράμματα και αρχεία στα οποία προσπελάσατε πρόσφατα.

CosmicDuke   (αναγνωρίζεται επίσης ως BotgenStudios, NemesisGemina και Tinybaron): Αποτελούμενο από πολλούς φορτωτές, μια σειρά εξαρτημάτων για τη διασφάλιση της επιμονής και μια ενότητα για την κλιμάκωση των προνομίων, το CosmicDuke περιστρέφεται κυρίως γύρω από τις δυνατότητές του για κλοπή πληροφοριών. Μπορεί να διεισδύσει αρχεία με συγκεκριμένες επεκτάσεις, να εξάγει κρυπτογραφικά πιστοποιητικά (συμπεριλαμβανομένων των ιδιωτικών κλειδιών), να καταγράφει στιγμιότυπα οθόνης, να καταγράφει πληκτρολογήσεις (keylogging), να ανακτά διαπιστευτήρια σύνδεσης από προγράμματα περιήγησης, προγράμματα-πελάτες email και αγγελιοφόρους, καθώς και να συλλέγει περιεχόμενο από το πρόχειρο (αντιγραφή -ρυθμιστικό διάλυμα πάστας).

MiniDuke : Αυτό το κακόβουλο λογισμικό διατίθεται σε διάφορες επαναλήψεις, που περιλαμβάνει λειτουργίες φόρτωσης, λήψης και κερκόπορτας. Το MiniDuke χρησιμοποιείται κυρίως για την προετοιμασία ενός συστήματος για επακόλουθες λοιμώξεις ή για τη διευκόλυνση της εξέλιξης τέτοιων λοιμώξεων.

Η οικογένεια Malware του Duke συνεχίζει να επεκτείνεται

Οι ερευνητές κατάφεραν να εντοπίσουν αρκετές ακόμη απειλές που ανήκουν στην οικογένεια κακόβουλου λογισμικού Duke και χρησιμοποιούνται ως μέρος του κακόβουλου οπλοστασίου του APT29.

Το CozyDuke , γνωστό και ως Cozer, CozyBear, CozyCar και EuroAPT, λειτουργεί κυρίως ως κερκόπορτα. Ο βασικός του σκοπός είναι να δημιουργήσει ένα σημείο εισόδου, που συχνά αναφέρεται ως «πίσω πόρτα», για επακόλουθες μολύνσεις, ιδιαίτερα τις δικές του μονάδες. Για να το πετύχει αυτό, χρησιμοποιεί ένα σταγονόμετρο σε συνδυασμό με πολλαπλές μονάδες που έχουν σχεδιαστεί για να διασφαλίζουν την ανθεκτικότητα.

Μεταξύ των στοιχείων του είναι αυτά που είναι αφιερωμένα στην εξαγωγή δεδομένων συστήματος, την εκτέλεση θεμελιωδών εντολών Cmd.exe, τη λήψη στιγμιότυπων οθόνης και την κλοπή διαπιστευτηρίων σύνδεσης. Είναι αξιοσημείωτο ότι το CozyDuke διαθέτει επίσης τη δυνατότητα διείσδυσης και εκτέλεσης άλλων αρχείων, υπονοώντας τη δυνατότητα να διευκολύνει ένα ευρύ φάσμα μολύνσεων από κακόβουλο λογισμικό.

Το OnionDuke παρουσιάζεται ως αρθρωτό κακόβουλο λογισμικό με ποικίλο σύνολο πιθανών διαμορφώσεων. Εξοπλισμένο με δυνατότητες φόρτωσης και σταγονόμετρου, αυτό το πρόγραμμα εισάγει μια σειρά μονάδων κλοπής πληροφοριών, συμπεριλαμβανομένων εκείνων που επικεντρώνονται στη συλλογή κωδικών πρόσβασης και άλλων ευαίσθητων δεδομένων. Επιπλέον, διαθέτει ένα στοιχείο προσανατολισμένο στην εκτόξευση επιθέσεων Distributed Denial-of-Service (DDoS). Μια άλλη ενότητα έχει επινοηθεί για την εκμετάλλευση των παραβιασμένων λογαριασμών κοινωνικής δικτύωσης για την έναρξη εκστρατειών ανεπιθύμητης αλληλογραφίας, ενισχύοντας πιθανώς την εμβέλεια της μόλυνσης.

Το SeaDuke , που αναφέρεται επίσης ως SeaDaddy και SeaDask, ξεχωρίζει ως backdoor πολλαπλών πλατφορμών που έχει σχεδιαστεί για να λειτουργεί τόσο σε συστήματα Windows όσο και σε συστήματα Linux. Παρά τη σχετική απλότητά του, το SeaDuke χρησιμεύει ως ένα θεμελιώδες σύνολο εργαλείων, που προσανατολίζεται κυρίως στην εκτέλεση διεισδυμένων αρχείων για τη διάδοση της μόλυνσης.

Ο HammerDuke , γνωστός εναλλακτικά ως HAMMERTOSS και Netduke, εμφανίζεται ως μια απλή κερκόπορτα. Η ευδιάκριτη χρήση του έχει σημειωθεί αποκλειστικά ως δευτερεύουσα κερκόπορτα που ακολουθεί μια μόλυνση CozyDuke.

Το CloudDuke, επίσης αναγνωρισμένο ως CloudLook και MiniDionis, εμφανίζεται σε δύο εκδόσεις backdoor. Αυτό το κακόβουλο λογισμικό περιλαμβάνει λειτουργίες λήψης και φόρτωσης, που στοχεύουν κυρίως στην ανάκτηση και εγκατάσταση ωφέλιμων φορτίων από προκαθορισμένες τοποθεσίες, είτε από το διαδίκτυο είτε από λογαριασμό Microsoft OneDrive.

Είναι σημαντικό να υπογραμμίσουμε ότι η προοπτική του ηθοποιού του The Dukes APT να εισάγει νέα σύνολα εργαλείων κακόβουλου λογισμικού παραμένει σημαντική εκτός και αν σταματήσουν οι δραστηριότητές τους. Η φύση των δραστηριοτήτων τους υποδηλώνει ένα διαρκές δυναμικό για καινοτομία στις στρατηγικές και τις τεχνικές τους.

σχετικές αναρτήσεις

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...