بدافزار Duke
Duke یک اصطلاح فراگیر است که مجموعه ای از مجموعه ابزارهای بدافزار را نشان می دهد که توسط بازیگر APT29 APT (تهدید مداوم پیشرفته) مستقر شده است. این بازیگر که با نامهای مستعار متعددی مانند The Dukes، Cloaked Ursa، CozyBear، Nobelium و UNC2452 شناخته میشود، در حوزه نفوذ سایبری فعالیت میکند. APT29 وابسته به سرویس اطلاعات خارجی فدراسیون روسیه (SVR RF) است که به معنای منشاء حمایت شده دولتی از روسیه است. پیگیری های این گروه ریشه در انگیزه های سیاسی و ژئوپلیتیکی دارد که بر جمع آوری اطلاعات و قلمرو جاسوسی سایبری تمرکز دارد.
در زیر چتر خانواده بدافزار دوک، آرایه وسیعی از نرم افزارهای تهدیدآمیز قرار دارد که انواع مختلفی مانند درهای پشتی سیستم، لودرها، دزدهای اطلاعاتی، اختلالات فرآیند و غیره را در بر می گیرد.
آخرین نمونه از یک کمپین حمله مرتبط با گروه دوکز در سال 2023 رخ داد. این کمپین شامل انتشار اسناد PDF مخربی بود که خود را به عنوان دعوت نامه های دیپلماتیک از سفارت آلمان استتار می کردند. نکته قابل توجه، این کمپین ایمیلی، وزارتخانههای امور خارجه کشورهای همسو با ناتو را هدف قرار داد و بر هدفگیری استراتژیک و پیامدهای بالقوه ژئوپلیتیک این گروه تأکید کرد.
مجرمان سایبری تهدیدات بدافزاری تخصصی دوک را ایجاد کردند
بازیگر APT معروف به The Dukes حداقل از سال 2008 حضور عملیاتی خود را حفظ کرده است و طیف گسترده ای از ابزارها را در طول این سال ها به نمایش گذاشته است. در زیر یک مرور زمانی از برخی از ابزارهای برجستهتر استفاده شده توسط این عامل تهدید خاص ارائه شده است.
PinchDuke : این جعبه ابزار دارای مجموعه ای از لودرها است که برای معرفی عناصر یا برنامه های تهدید کننده اضافی به سیستم های در معرض خطر طراحی شده اند. این شامل یک فایل گیر در نظر گرفته شده برای استخراج و یک دزد اعتبار است. دومی منابع داده های مختلفی از جمله Microsoft Authenticator (passport.net)، مشتریان ایمیل (Mail.ru، Mozilla Thunderbird، Outlook، The Bat!، Yahoo Mail)، مرورگرها (Internet Explorer، Mozilla Firefox، Netscape Navigator) و پیام رسانی را هدف قرار می دهد. خدمات (Google Talk)، در میان دیگران.
GeminiDuke : GeminiDuke با قابلیتهای لودر و چندین hanisms برای اطمینان از پایداری، دارای قابلیتهایی به عنوان سرقت اطلاعات است که عمدتاً بر جمعآوری دادههای پیکربندی دستگاه متمرکز است. این اطلاعات شامل حسابهای کاربری، درایورها و نرمافزارهای نصبشده، فرآیندهای در حال اجرا، برنامهها و سرویسهای راهاندازی، تنظیمات شبکه، پوشهها و فایلهای خاص و برنامهها و فایلهایی است که اخیراً به آنها دسترسی پیدا کردهاید.
CosmicDuke (همچنین با نامهای BotgenStudios، NemesisGemina و Tinybaron شناخته میشوند): CosmicDuke که شامل چندین بارگذار، مجموعهای از مؤلفهها برای اطمینان از پایداری و یک ماژول برای افزایش امتیاز است، عمدتاً حول قابلیتهای سرقت اطلاعات خود میچرخد. میتواند فایلهای با پسوندهای خاص را استخراج کند، گواهیهای رمزنگاری (شامل کلیدهای خصوصی) را صادر کند، اسکرینشات بگیرد، ضربههای کلید را ضبط کند (keylogging)، اعتبار ورود به سیستم را از مرورگرها، کلاینتهای ایمیل، و پیامرسانها بازیابی کند، و همچنین محتوا را از کلیپ بورد (کپی) جمعآوری کند. -بافر خمیری).
MiniDuke : این بدافزار در تکرارهای مختلفی عرضه می شود که شامل لودر، دانلودر و عملکردهای درپشتی می شود. MiniDuke در درجه اول برای تهیه سیستمی برای عفونت های بعدی یا تسهیل پیشرفت چنین عفونت هایی استفاده می شود.
خانواده بدافزار Duke همچنان در حال گسترش است
محققان موفق به شناسایی چندین تهدید دیگر شده اند که متعلق به خانواده بدافزار Duke هستند و به عنوان بخشی از زرادخانه مخرب APT29 مورد استفاده قرار می گیرند.
CozyDuke که با نامهای Cozer، CozyBear، CozyCar و EuroAPT نیز شناخته میشود، عمدتاً به عنوان یک درب پشتی عمل میکند. هدف اصلی آن ایجاد یک نقطه ورودی است که اغلب به عنوان "درپشتی" نامیده می شود، برای عفونت های بعدی، به ویژه ماژول های خود. برای دستیابی به این هدف، از یک قطره چکان در ارتباط با چندین ماژول طراحی شده برای اطمینان از پایداری استفاده می کند.
از جمله اجزای آن میتوان به استخراج دادههای سیستم، اجرای دستورات اصلی Cmd.exe، گرفتن اسکرینشات و سرقت اطلاعات ورود به سیستم اشاره کرد. شایان ذکر است، CozyDuke همچنین دارای قابلیت نفوذ و اجرای فایلهای دیگر است که به معنای امکان تسهیل طیف گستردهای از آلودگیهای بدافزار است.
OnionDuke خود را به عنوان بدافزار مدولار با مجموعه متنوعی از تنظیمات ممکن معرفی می کند. این برنامه مجهز به قابلیتهای لودر و قطرهکن، مجموعهای از ماژولهای سرقت اطلاعات را معرفی میکند، از جمله مواردی که بر جمعآوری رمزهای عبور و سایر دادههای حساس متمرکز هستند. علاوه بر این، دارای یک مؤلفه است که برای راه اندازی حملات انکار سرویس توزیع شده (DDoS) طراحی شده است. ماژول دیگری برای بهرهبرداری از حسابهای شبکه اجتماعی در معرض خطر برای راهاندازی کمپینهای هرزنامه ابداع شده است که به طور بالقوه دامنه آلودگی را تقویت میکند.
SeaDuke که با نامهای SeaDaddy و SeaDask نیز شناخته میشود، بهعنوان یک درب پشتی متقابل پلتفرمی که برای کار بر روی هر دو سیستم ویندوز و لینوکس طراحی شده است. علیرغم سادگی نسبی، SeaDuke به عنوان یک مجموعه ابزار اساسی عمل می کند، که در درجه اول به سمت اجرای فایل های نفوذی برای انتشار عفونت است.
HammerDuke که به طور متناوب با نام های HAMMERTOSS و Netduke شناخته می شود، به عنوان یک درب پشتی ساده ظاهر می شود. استفاده قابل تشخیص آن منحصراً به عنوان یک درب پشتی ثانویه که به دنبال عفونت CozyDuke است، ذکر شده است.
CloudDuke همچنین به عنوان CloudLook و MiniDionis شناخته می شود که در دو نسخه پشتی ظاهر می شود. این بدافزار شامل عملکردهای بارگیری و بارگیری است که عمدتاً برای دریافت و نصب محمولهها از مکانهای از پیش تعریفشده، چه از اینترنت یا یک حساب Microsoft OneDrive، انجام میشود.
بسیار مهم است که تاکید کنیم که چشم انداز بازیگر The Dukes APT برای معرفی مجموعه ابزارهای بدافزار جدید قابل توجه است مگر اینکه عملیات آنها متوقف شود. ماهیت فعالیت های آنها نشان دهنده پتانسیل پایدار برای نوآوری در استراتژی ها و تکنیک های آنها است.