Duke'i pahavara

Duke on üldine termin, mis tähistab APT29 APT (Advanced Persistent Threat) tegutseja juurutatud pahavara tööriistakomplektide kogumit. See näitleja, keda tunnevad ära mitmed varjunimed, nagu The Dukes, Cloaked Ursa, CozyBear, Nobelium ja UNC2452, tegutseb kübersissetungimise valdkonnas. APT29 on seotud Vene Föderatsiooni välisluureteenistusega (SVR RF), mis tähendab riiklikult toetatud päritolu Venemaalt. Grupi tegevused põhinevad poliitilistel ja geopoliitilistel motiividel, keskendudes luureandmete kogumisele ja küberspionaaži valdkonnale.

Duke'i ründevaraperekonna vihmavarju all on ohtralt ähvardavat tarkvara, mis hõlmab erinevat tüüpi, nagu süsteemi tagauksed, laadijad, infovarastajad, protsesside segajad ja palju muud.

Viimane rühmitusega The Dukes seotud ründekampaania toimus 2023. aastal. See kampaania hõlmas pahatahtlike PDF-dokumentide levitamist, mis maskeerisid end Saksa saatkonna diplomaatiliste kutsetena. Nimelt oli see meilikampaania suunatud NATOga ühinenud riikide välisministeeriumidele, rõhutades grupi strateegilist sihti ja võimalikke geopoliitilisi mõjusid.

Küberkurjategijad lõid spetsiaalseid Duke'i pahavaraohte

APT näitleja, keda tuntakse nime all The Dukes, on säilitanud oma kohaloleku vähemalt 2008. aastast alates, eksponeerides nende aastate jooksul laia valikut tööriistu. Allpool on kronoloogiline ülevaade mõnest silmapaistvamast tööriistakomplektist, mida see konkreetne ohutegija kasutab.

PinchDuke : see tööriistakomplekt sisaldab laadurite kogumit, mis on loodud ohustatud süsteemidesse täiendavate ähvardavate elementide või programmide lisamiseks. See hõlmab väljafiltreerimiseks mõeldud failihaarajat ja volikirjade varastajat. Viimane sihib erinevaid andmeallikaid, sealhulgas Microsoft Authenticator (passport.net), meilikliente (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), brausereid (Internet Explorer, Mozilla Firefox, Netscape Navigator) ja sõnumivahetust. teenuseid (Google Talk) muu hulgas.

GeminiDuke : tänu oma laadimisvõimalustele ja mitmele mehhanismile , mis tagavad püsivuse, on GeminiDuke ka andmete varastaja funktsioonidega, mis on peamiselt keskendunud seadme konfiguratsiooniandmete kogumisele. See teave hõlmab kasutajakontosid, installitud draivereid ja tarkvara, töötavaid protsesse, käivitusprogramme ja teenuseid, võrgusätteid, konkreetseid kaustu ja faile ning hiljuti kasutatud programme ja faile.

CosmicDuke   (tuntud ka kui BotgenStudios, NemesisGemina ja Tinybaron): CosmicDuke, mis koosneb mitmest laadurist, paljudest komponentidest, mis tagavad püsivuse, ja moodulist privileegide eskaleerimiseks, keskendub peamiselt oma teabevarastamisvõimalustele. See võib välja filtreerida kindlate laiendustega faile, eksportida krüptosertifikaate (sh privaatvõtmeid), jäädvustada ekraanipilte, salvestada klahvivajutusi (klahvilogimine), hankida sisselogimismandaate brauserite, meiliklientide ja sõnumitoojate kaudu ning koguda sisu lõikepuhvrisse (kopeerida). -pasta puhver).

MiniDuke : see pahavara on saadaval erinevates iteratsioonides, mis hõlmavad laadija, allalaadija ja tagaukse funktsioone. MiniDuke'i kasutatakse peamiselt selleks, et valmistada ette süsteem järgnevateks infektsioonideks või hõlbustada selliste infektsioonide progresseerumist.

Duke'i pahavara perekond laieneb jätkuvalt

Teadlastel on õnnestunud tuvastada veel mitu Duke'i pahavara perekonda kuuluvat ohtu, mida kasutatakse APT29 pahatahtliku arsenali osana.

CozyDuke , tuntud ka kui Cozer, CozyBear, CozyCar ja EuroAPT, toimib peamiselt tagauksena. Selle põhieesmärk on luua sisenemispunkt, mida sageli nimetatakse "tagaukseks", järgnevate nakkuste jaoks, eriti oma moodulite jaoks. Selle saavutamiseks kasutab see tilgutit koos mitme mooduliga, mis on loodud püsivuse tagamiseks.

Selle komponentide hulgas on need, mis on ette nähtud süsteemiandmete väljavõtmiseks, põhiliste Cmd.exe käskude täitmiseks, ekraanipiltide jäädvustamiseks ja sisselogimismandaatide rikkumiseks. Tähelepanuväärne on see, et CozyDuke suudab tungida ka teistesse failidesse ja neid käivitada, mis tähendab, et see võib hõlbustada pahavara nakatumise laia spektrit.

OnionDuke esitleb end modulaarse pahavarana, millel on mitmesugused võimalikud konfiguratsioonid. See programm, mis on varustatud laadimis- ja tilgutivõimalustega, tutvustab hulgaliselt teabevarastamismooduleid, sealhulgas neid, mis on keskendunud paroolide ja muude tundlike andmete kogumisele. Lisaks sisaldab see komponenti, mis on suunatud DDoS (Distributed Denial-of-Service) rünnakute käivitamisele. Teine moodul on välja töötatud ohustatud suhtlusvõrgustike kontode ärakasutamiseks rämpspostikampaaniate algatamiseks, mis potentsiaalselt võimendab nakkuse levikut.

SeaDuke , mida nimetatakse ka SeaDaddyks ja SeaDaskiks, paistab silma platvormideülese tagauksena, mis on loodud töötama nii Windowsi kui ka Linuxi süsteemides. Vaatamata oma suhtelisele lihtsusele toimib SeaDuke põhitööriistade komplektina, mis on peamiselt suunatud nakkuse levitamiseks sissetunginud failide käivitamisele.

HammerDuke , vaheldumisi tuntud kui HAMMERTOSS ja Netduke, kerkib esile otsekohese tagauksena. Selle märgatavat kasutamist on peetud eranditult teiseseks tagaukseks, mis järgneb CozyDuke'i nakkusele.

CloudDuke on tuntud ka kui CloudLook ja MiniDionis, mis avaldub kahes tagaukse versioonis. See pahavara hõlmab allalaadimis- ja laadimisfunktsioone, mis on peamiselt suunatud kasulike koormate toomiseks ja installimiseks eelnevalt määratletud asukohtadest, olgu need siis Internetist või Microsoft OneDrive'i kontolt.

On ülioluline rõhutada, et väljavaade, et The Dukes APT näitleja tutvustab uusi pahavara tööriistakomplekte, on endiselt märkimisväärne, kui nende tegevus ei peatu. Nende tegevuse olemus viitab nende strateegiate ja tehnikate püsivale uuenduspotentsiaalile.