Duke haittaohjelma

Duke on yleistermi, joka tarkoittaa kokoelmaa haittaohjelmatyökaluja, joita APT29 APT (Advanced Persistent Threat) -toimija on ottanut käyttöön. Tämä näyttelijä, joka tunnetaan useista aliaksista, kuten The Dukes, Cloaked Ursa, CozyBear, Nobelium ja UNC2452, toimii kybermurron piirissä. APT29 on sidoksissa Venäjän federaation ulkomaan tiedustelupalveluun (SVR RF), mikä tarkoittaa valtion tukemaa alkuperää Venäjältä. Ryhmän pyrkimykset juurtuvat poliittisiin ja geopoliittisiin motiiveihin keskittyen tiedustelutietojen keräämiseen ja kybervakoilun maailmaan.

Duke-haittaohjelmaperheen sateenvarjon alla piilee laaja valikoima uhkaavia ohjelmistoja, jotka kattavat erilaisia, kuten järjestelmän takaovia, lataajia, tietovarastoja, prosessien häiriöitä ja paljon muuta.

Viimeisin The Dukes -ryhmään liittyvä hyökkäyskampanja tapahtui vuonna 2023. Kampanjaan liittyi haitallisten PDF-dokumenttien levittäminen, jotka naamioituivat Saksan suurlähetystön diplomaattisiksi kutsuiksi. Tämä sähköpostikampanja kohdistui erityisesti Naton kanssa tekemisissä olevien maiden ulkoministeriöihin, mikä korosti ryhmän strategista kohdistamista ja mahdollisia geopoliittisia vaikutuksia.

Kyberrikolliset loivat erikoistuneita Duke-haittaohjelmia

APT-näyttelijä, joka tunnetaan nimellä The Dukes, on säilyttänyt operatiivisen läsnäolonsa ainakin vuodesta 2008 lähtien ja esitellyt laajan valikoiman työkaluja näiden vuosien aikana. Alla on kronologinen yleiskatsaus joistakin tämän erityisen uhkatoimijan käyttämistä merkittävimmistä työkaluista.

PinchDuke : Tämä työkalupakki sisältää kokoelman lataajia, jotka on suunniteltu tuomaan lisää uhkaavia elementtejä tai ohjelmia vaarantuneisiin järjestelmiin. Se sisältää suodattamiseen tarkoitetun tiedostojen sieppaajan ja valtuustietojen varastajan. Jälkimmäinen kohdistuu useisiin tietolähteisiin, mukaan lukien Microsoft Authenticator (passport.net), sähköpostiohjelmat (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), selaimet (Internet Explorer, Mozilla Firefox, Netscape Navigator) ja viestit palveluita (Google Talk) mm.

GeminiDuke : Latausominaisuuksillaan ja useilla mekanismeilla , jotka takaavat pysyvyyden, GeminiDuke tarjoaa myös toimintoja tietojen varastajana, joka keskittyy pääasiassa laitteen kokoonpanotietojen keräämiseen. Nämä tiedot sisältävät käyttäjätilit, asennetut ohjaimet ja ohjelmistot, käynnissä olevat prosessit, käynnistysohjelmat ja -palvelut, verkkoasetukset, tietyt kansiot ja tiedostot sekä äskettäin käytetyt ohjelmat ja tiedostot.

CosmicDuke   (tunnetaan myös nimellä BotgenStudios, NemesisGemina ja Tinybaron): CosmicDuke koostuu useista latauslaitteista, joukosta komponentteja, jotka takaavat pysyvyyden ja moduulin oikeuksien eskalointia varten. Se voi suodattaa tiedostoja tietyillä laajennuksilla, viedä kryptografisia varmenteita (mukaan lukien yksityisiä avaimia), kaapata kuvakaappauksia, tallentaa näppäinpainalluksia (näppäinloki), hakea kirjautumistiedot selaimista, sähköpostiohjelmista ja lähettiläistä sekä kerätä sisältöä leikepöydältä (kopioi). -liitä puskuri).

MiniDuke : Tämä haittaohjelma tulee useissa iteraatioissa, jotka sisältävät latausohjelman, latausohjelman ja takaoven toiminnot. MiniDukea käytetään ensisijaisesti joko valmistelemaan järjestelmä myöhempiä infektioita varten tai helpottamaan tällaisten infektioiden etenemistä.

Duke-haittaohjelmaperhe jatkaa laajentumistaan

Tutkijat ovat onnistuneet tunnistamaan useita muita uhkia, jotka kuuluvat Duke-haittaohjelmaperheeseen ja joita käytetään osana APT29:n haitallista arsenaalia.

CozyDuke , joka tunnetaan myös nimellä Cozer, CozyBear, CozyCar ja EuroAPT, toimii ensisijaisesti takaovena. Sen ydintarkoituksena on luoda sisäänkäyntipiste, jota usein kutsutaan "takaoveksi" myöhempiä infektioita varten, erityisesti sen omia moduuleja varten. Tämän saavuttamiseksi se käyttää tiputinta yhdessä useiden moduulien kanssa, jotka on suunniteltu varmistamaan pysyvyys.

Sen osien joukossa ovat ne, jotka on omistettu järjestelmätietojen purkamiseen, perus Cmd.exe-komentojen suorittamiseen, kuvakaappausten kaappaamiseen ja kirjautumistietojen varastamiseen. On huomattava, että CozyDukella on myös kyky tunkeutua ja suorittaa muita tiedostoja, mikä tarkoittaa potentiaalia helpottaa monenlaisia haittaohjelmatartuntoja.

OnionDuke esittelee itsensä modulaarisena haittaohjelmana, jossa on erilaisia mahdollisia kokoonpanoja. Tämä ohjelma on varustettu lataus- ja tiputusominaisuuksilla, ja se esittelee joukon tiedonvarastomoduuleja, mukaan lukien ne, jotka keskittyvät salasanojen ja muiden arkaluonteisten tietojen keräämiseen. Lisäksi siinä on komponentti, joka on suunniteltu käynnistämään hajautettuja palvelunestohyökkäyksiä (DDoS). Toinen moduuli on suunniteltu hyödyntämään vaarantuneita sosiaalisen verkostoitumisen tilejä roskapostikampanjoiden käynnistämiseen, mikä mahdollisesti lisää tartunnan kattavuutta.

SeaDuke , jota kutsutaan myös SeaDaddyksi ja SeaDaskiksi, erottuu joukosta monialustaisia takaovia, jotka on suunniteltu toimimaan sekä Windows- että Linux-järjestelmissä. Suhteellisesta yksinkertaisuudestaan huolimatta SeaDuke toimii perustavanlaatuisena työkalusarjana, joka on suunnattu ensisijaisesti soluttautuneiden tiedostojen suorittamiseen tartunnan levittämiseksi.

HammerDuke , joka tunnetaan vuorotellen nimellä HAMMERTOSS ja Netduke, tulee esiin suorana takaovena. Sen havaittavissa oleva käyttö on havaittu yksinomaan toissijaiseksi takaoveksi, joka seuraa CozyDuke-infektiota.

CloudDuke tunnetaan myös nimellä CloudLook ja MiniDionis, ilmentyy kahdessa takaoviversiossa. Tämä haittaohjelma sisältää lataus- ja lataustoiminnot, jotka on ensisijaisesti suunnattu hyötykuormien hakemiseen ja asentamiseen ennalta määritetyistä paikoista, joko Internetistä tai Microsoft OneDrive -tililtä.

On tärkeää korostaa, että The Dukes APT:n toimijan mahdollisuus ottaa käyttöön uusia haittaohjelmatyökaluja on edelleen huomattava, ellei heidän toimintansa pysähdy. Heidän toiminnan luonne viittaa jatkuvaan innovaatiopotentiaaliin heidän strategioissaan ja tekniikoissaan.