بدافزار Duke

Duke یک اصطلاح فراگیر است که مجموعه ای از مجموعه ابزارهای بدافزار را نشان می دهد که توسط بازیگر APT29 APT (تهدید مداوم پیشرفته) مستقر شده است. این بازیگر که با نام‌های مستعار متعددی مانند The Dukes، Cloaked Ursa، CozyBear، Nobelium و UNC2452 شناخته می‌شود، در حوزه نفوذ سایبری فعالیت می‌کند. APT29 وابسته به سرویس اطلاعات خارجی فدراسیون روسیه (SVR RF) است که به معنای منشاء حمایت شده دولتی از روسیه است. پیگیری های این گروه ریشه در انگیزه های سیاسی و ژئوپلیتیکی دارد که بر جمع آوری اطلاعات و قلمرو جاسوسی سایبری تمرکز دارد.

در زیر چتر خانواده بدافزار دوک، آرایه وسیعی از نرم افزارهای تهدیدآمیز قرار دارد که انواع مختلفی مانند درهای پشتی سیستم، لودرها، دزدهای اطلاعاتی، اختلالات فرآیند و غیره را در بر می گیرد.

آخرین نمونه از یک کمپین حمله مرتبط با گروه دوکز در سال 2023 رخ داد. این کمپین شامل انتشار اسناد PDF مخربی بود که خود را به عنوان دعوت نامه های دیپلماتیک از سفارت آلمان استتار می کردند. نکته قابل توجه، این کمپین ایمیلی، وزارتخانه‌های امور خارجه کشورهای همسو با ناتو را هدف قرار داد و بر هدف‌گیری استراتژیک و پیامدهای بالقوه ژئوپلیتیک این گروه تأکید کرد.

مجرمان سایبری تهدیدات بدافزاری تخصصی دوک را ایجاد کردند

بازیگر APT معروف به The Dukes حداقل از سال 2008 حضور عملیاتی خود را حفظ کرده است و طیف گسترده ای از ابزارها را در طول این سال ها به نمایش گذاشته است. در زیر یک مرور زمانی از برخی از ابزارهای برجسته‌تر استفاده شده توسط این عامل تهدید خاص ارائه شده است.

PinchDuke : این جعبه ابزار دارای مجموعه ای از لودرها است که برای معرفی عناصر یا برنامه های تهدید کننده اضافی به سیستم های در معرض خطر طراحی شده اند. این شامل یک فایل گیر در نظر گرفته شده برای استخراج و یک دزد اعتبار است. دومی منابع داده های مختلفی از جمله Microsoft Authenticator (passport.net)، مشتریان ایمیل (Mail.ru، Mozilla Thunderbird، Outlook، The Bat!، Yahoo Mail)، مرورگرها (Internet Explorer، Mozilla Firefox، Netscape Navigator) و پیام رسانی را هدف قرار می دهد. خدمات (Google Talk)، در میان دیگران.

GeminiDuke : GeminiDuke با قابلیت‌های لودر و چندین hanisms برای اطمینان از پایداری، دارای قابلیت‌هایی به عنوان سرقت اطلاعات است که عمدتاً بر جمع‌آوری داده‌های پیکربندی دستگاه متمرکز است. این اطلاعات شامل حساب‌های کاربری، درایورها و نرم‌افزارهای نصب‌شده، فرآیندهای در حال اجرا، برنامه‌ها و سرویس‌های راه‌اندازی، تنظیمات شبکه، پوشه‌ها و فایل‌های خاص و برنامه‌ها و فایل‌هایی است که اخیراً به آنها دسترسی پیدا کرده‌اید.

CosmicDuke   (همچنین با نام‌های BotgenStudios، NemesisGemina و Tinybaron شناخته می‌شوند): CosmicDuke که شامل چندین بارگذار، مجموعه‌ای از مؤلفه‌ها برای اطمینان از پایداری و یک ماژول برای افزایش امتیاز است، عمدتاً حول قابلیت‌های سرقت اطلاعات خود می‌چرخد. می‌تواند فایل‌های با پسوندهای خاص را استخراج کند، گواهی‌های رمزنگاری (شامل کلیدهای خصوصی) را صادر کند، اسکرین‌شات بگیرد، ضربه‌های کلید را ضبط کند (keylogging)، اعتبار ورود به سیستم را از مرورگرها، کلاینت‌های ایمیل، و پیام‌رسان‌ها بازیابی کند، و همچنین محتوا را از کلیپ بورد (کپی) جمع‌آوری کند. -بافر خمیری).

MiniDuke : این بدافزار در تکرارهای مختلفی عرضه می شود که شامل لودر، دانلودر و عملکردهای درپشتی می شود. MiniDuke در درجه اول برای تهیه سیستمی برای عفونت های بعدی یا تسهیل پیشرفت چنین عفونت هایی استفاده می شود.

خانواده بدافزار Duke همچنان در حال گسترش است

محققان موفق به شناسایی چندین تهدید دیگر شده اند که متعلق به خانواده بدافزار Duke هستند و به عنوان بخشی از زرادخانه مخرب APT29 مورد استفاده قرار می گیرند.

CozyDuke که با نام‌های Cozer، CozyBear، CozyCar و EuroAPT نیز شناخته می‌شود، عمدتاً به عنوان یک درب پشتی عمل می‌کند. هدف اصلی آن ایجاد یک نقطه ورودی است که اغلب به عنوان "درپشتی" نامیده می شود، برای عفونت های بعدی، به ویژه ماژول های خود. برای دستیابی به این هدف، از یک قطره چکان در ارتباط با چندین ماژول طراحی شده برای اطمینان از پایداری استفاده می کند.

از جمله اجزای آن می‌توان به استخراج داده‌های سیستم، اجرای دستورات اصلی Cmd.exe، گرفتن اسکرین‌شات و سرقت اطلاعات ورود به سیستم اشاره کرد. شایان ذکر است، CozyDuke همچنین دارای قابلیت نفوذ و اجرای فایل‌های دیگر است که به معنای امکان تسهیل طیف گسترده‌ای از آلودگی‌های بدافزار است.

OnionDuke خود را به عنوان بدافزار مدولار با مجموعه متنوعی از تنظیمات ممکن معرفی می کند. این برنامه مجهز به قابلیت‌های لودر و قطره‌کن، مجموعه‌ای از ماژول‌های سرقت اطلاعات را معرفی می‌کند، از جمله مواردی که بر جمع‌آوری رمزهای عبور و سایر داده‌های حساس متمرکز هستند. علاوه بر این، دارای یک مؤلفه است که برای راه اندازی حملات انکار سرویس توزیع شده (DDoS) طراحی شده است. ماژول دیگری برای بهره‌برداری از حساب‌های شبکه اجتماعی در معرض خطر برای راه‌اندازی کمپین‌های هرزنامه ابداع شده است که به طور بالقوه دامنه آلودگی را تقویت می‌کند.

SeaDuke که با نام‌های SeaDaddy و SeaDask نیز شناخته می‌شود، به‌عنوان یک درب پشتی متقابل پلتفرمی که برای کار بر روی هر دو سیستم ویندوز و لینوکس طراحی شده است. علیرغم سادگی نسبی، SeaDuke به عنوان یک مجموعه ابزار اساسی عمل می کند، که در درجه اول به سمت اجرای فایل های نفوذی برای انتشار عفونت است.

HammerDuke که به طور متناوب با نام های HAMMERTOSS و Netduke شناخته می شود، به عنوان یک درب پشتی ساده ظاهر می شود. استفاده قابل تشخیص آن منحصراً به عنوان یک درب پشتی ثانویه که به دنبال عفونت CozyDuke است، ذکر شده است.

CloudDuke همچنین به عنوان CloudLook و MiniDionis شناخته می شود که در دو نسخه پشتی ظاهر می شود. این بدافزار شامل عملکردهای بارگیری و بارگیری است که عمدتاً برای دریافت و نصب محموله‌ها از مکان‌های از پیش تعریف‌شده، چه از اینترنت یا یک حساب Microsoft OneDrive، انجام می‌شود.

بسیار مهم است که تاکید کنیم که چشم انداز بازیگر The Dukes APT برای معرفی مجموعه ابزارهای بدافزار جدید قابل توجه است مگر اینکه عملیات آنها متوقف شود. ماهیت فعالیت های آنها نشان دهنده پتانسیل پایدار برای نوآوری در استراتژی ها و تکنیک های آنها است.