Duke Malware

Duke הוא המונח הכולל המציין אוסף של ערכות כלים של תוכנות זדוניות שנפרסו על ידי השחקן APT29 APT (Advanced Persistent Threat). שחקן זה, המוכר על ידי כינויים מרובים כגון The Dukes, Cloaked Ursa, CozyBear, Nobelium ו-UNC2452, פועל בתחום של חדירות סייבר. APT29 מזוהה עם שירות הביון הזר של הפדרציה הרוסית (SVR RF), מה שמסמל מוצא בחסות המדינה מרוסיה. עיסוקיה של הקבוצה נעוצים במניעים פוליטיים וגיאופוליטיים, תוך התמקדות באיסוף מודיעין ובתחום ריגול הסייבר.

תחת המטרייה של משפחת התוכנות הזדוניות Duke מסתתר מערך רחב של תוכנות מאיימות, הכולל סוגים שונים כמו דלתות אחוריות של המערכת, מעמיסים, גנבי מידע, משבשי תהליכים ועוד.

המקרה האחרון של מסע תקיפה הקשור לקבוצת The Dukes התרחש בשנת 2023. מסע פרסום זה כלל הפצת מסמכי PDF זדוניים שהסוו את עצמם כהזמנות דיפלומטיות שמקורן בשגרירות גרמניה. במיוחד, מסע דוא"ל זה כוון למשרדי החוץ של מדינות המקושרות עם נאט"ו, והדגיש את המיקוד האסטרטגי של הקבוצה ואת ההשלכות הגיאופוליטיות הפוטנציאליות.

פושעי הסייבר יצרו איומים מיוחדים של Duke Malware

שחקן ה-APT המכונה The Dukes שמר על נוכחותו המבצעית מאז 2008 לפחות, והציג מגוון רחב של כלים במהלך השנים הללו. להלן סקירה כרונולוגית של כמה מערכי הכלים הבולטים יותר המופעלים על ידי שחקן האיום המסוים הזה.

PinchDuke : ערכת כלים זו כוללת אוסף של מעמיסים שנועדו להכניס אלמנטים או תוכניות מאיימים נוספים למערכות שנפרצו. הוא כולל חוטף קבצים המיועד להסרה וגנב אישורים. האחרון מכוון למקורות נתונים שונים, כולל Microsoft Authenticator (passport.net), לקוחות דואר אלקטרוני (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), דפדפנים (Internet Explorer, Mozilla Firefox, Netscape Navigator) והעברת הודעות שירותים (Google Talk), בין היתר.

GeminiDuke : עם יכולות הטעינה שלו וריבוי האפשרויות להבטחת התמדה, GeminiDuke מתגאה גם בפונקציונליות כגונבת נתונים, המתמקדת בעיקר באיסוף נתוני תצורת המכשיר. מידע זה כולל חשבונות משתמש, מנהלי התקנים ותוכנות מותקנים, תהליכים רצים, תוכניות ושירותי הפעלה, הגדרות רשת, תיקיות וקבצים ספציפיים ותוכניות וקבצים שניגשים אליהם לאחרונה.

CosmicDuke   (מוכר גם כ-BotgenStudios, NemesisGemina ו-Tinybaron): כולל מספר מעמיסים, מגוון רכיבים להבטחת התמדה ומודול להסלמה של הרשאות, CosmicDuke סובבת בעיקר סביב יכולות גניבת המידע שלה. זה יכול לסנן קבצים עם הרחבות ספציפיות, לייצא אישורי הצפנה (כולל מפתחות פרטיים), ללכוד צילומי מסך, להקליט הקשות (רישום מקשים), לאחזר אישורי כניסה מדפדפנים, לקוחות דוא"ל ומסנג'רים, כמו גם לאסוף תוכן מהלוח (העתק -הדבק חיץ).

MiniDuke : תוכנה זדונית זו מגיעה באיטרציות שונות, וכוללת פונקציונליות של טוען, הורדה ודלת אחורית. MiniDuke משמש בעיקר כדי להכין מערכת לזיהומים הבאים או להקל על התקדמות זיהומים כאלה.

משפחת Duke Malware ממשיכה להתרחב

חוקרים הצליחו לזהות עוד כמה איומים השייכים למשפחת התוכנות הזדוניות Duke ומשמשים כחלק מהארסנל הזדוני של APT29.

CozyDuke , המוכר גם כ-Cozer, CozyBear, CozyCar ו-EuroAPT, מתפקד בעיקר כדלת אחורית. מטרת הליבה שלו היא להקים נקודת כניסה, המכונה לעתים קרובות 'דלת אחורית', עבור זיהומים עוקבים, במיוחד המודולים שלה. כדי להשיג זאת, הוא משתמש בטפטפת בשילוב עם מספר מודולים שנועדו להבטיח התמדה.

בין המרכיבים שלו הם אלה המוקדשים לחילוץ נתוני מערכת, ביצוע פקודות Cmd.exe בסיסיות, לכידת צילומי מסך וגניבת אישורי כניסה. למרבה הפלא, ל-CozyDuke יש גם את היכולת לחדור ולהפעיל קבצים אחרים, מה שמרמז על הפוטנציאל לאפשר מגוון רחב של הדבקות בתוכנה זדונית.

OnionDuke מציג את עצמו כתוכנה זדונית מודולרית עם סט מגוון של תצורות אפשריות. חמושה ביכולות מטעין ומפילה, תוכנית זו מציגה מערך של מודולים לגניבת מידע, כולל אלו המתמקדים בקצירת סיסמאות ונתונים רגישים אחרים. בנוסף, הוא כולל רכיב המיועד להשקת התקפות מניעת שירות מבוזרות (DDoS). מודול נוסף מתוכנן כדי לנצל חשבונות רשת חברתית שנפגעו לצורך התחלת מסעות פרסום ספאם, מה שעלול להגביר את טווח ההגעה של ההדבקה.

SeaDuke , המכונה גם SeaDaddy ו-SeaDask, בולטת כדלת אחורית חוצת פלטפורמות שנועדה לפעול הן במערכות Windows והן במערכות לינוקס. למרות הפשטות היחסית שלו, SeaDuke משמש כערכת כלים בסיסית, המכוונת בעיקר לביצוע קבצים שהסתננו כדי להפיץ את הזיהום.

HammerDuke , המכונה לסירוגין HAMMERTOSS ו-Netduke, מתגלה כדלת אחורית פשוטה. השימוש שניתן להבחין בו צוין באופן בלעדי כדלת אחורית משנית בעקבות זיהום CozyDuke.

CloudDuke מוכר גם כ-CloudLook ו-MiniDionis, מתבטא בשתי גרסאות דלת אחורית. תוכנה זדונית זו כוללת פונקציונליות של הורדה וטעינה, המכוונת בעיקר לאחזור והתקנה של מטענים ממיקומים מוגדרים מראש, בין אם מהאינטרנט או מחשבון Microsoft OneDrive.

חשוב להדגיש שהסיכוי ששחקן The Dukes APT יציג ערכות כלים חדשות של תוכנות זדוניות נותר משמעותי אלא אם כן הפעילות שלהם תיעצר. אופי הפעילות שלהם מעיד על פוטנציאל מתמשך לחדשנות באסטרטגיות ובטכניקות שלהם.