ड्यूक मैलवेयर
ड्यूक एक व्यापक शब्द है जो एपीटी29 एपीटी (एडवांस्ड परसिस्टेंट थ्रेट) अभिनेता द्वारा तैनात मैलवेयर टूलसेट के संग्रह को दर्शाता है। द ड्यूक्स, क्लोक्ड उर्सा, कोज़ीबियर, नोबेलियम और यूएनसी2452 जैसे कई उपनामों से पहचाना जाने वाला यह अभिनेता साइबर घुसपैठ के दायरे में काम करता है। APT29 रूसी संघ की विदेशी खुफिया सेवा (एसवीआर आरएफ) से संबद्ध है, जो रूस से राज्य प्रायोजित उत्पत्ति का प्रतीक है। समूह की गतिविधियां राजनीतिक और भू-राजनीतिक प्रेरणाओं में निहित हैं, जो खुफिया जानकारी एकत्र करने और साइबर जासूसी के दायरे पर केंद्रित हैं।
ड्यूक मैलवेयर परिवार की छतरी के नीचे खतरनाक सॉफ़्टवेयर की एक विस्तृत श्रृंखला है, जिसमें सिस्टम बैकडोर, लोडर, इन्फोस्टीलर, प्रोसेस डिसरप्टर और बहुत कुछ जैसे विभिन्न प्रकार शामिल हैं।
ड्यूक्स समूह से जुड़े हमले अभियान का सबसे हालिया उदाहरण 2023 में हुआ था। इस अभियान में दुर्भावनापूर्ण पीडीएफ दस्तावेजों का प्रसार शामिल था जो खुद को जर्मन दूतावास से आने वाले राजनयिक निमंत्रण के रूप में छिपाते थे। विशेष रूप से, इस ईमेल अभियान ने नाटो के साथ जुड़े देशों के विदेश मामलों के मंत्रालयों को लक्षित किया, जो समूह के रणनीतिक लक्ष्यीकरण और संभावित भू-राजनीतिक निहितार्थों को रेखांकित करता है।
साइबर अपराधियों ने विशेष ड्यूक मैलवेयर खतरे तैयार किए
द ड्यूक्स के नाम से जाने जाने वाले एपीटी अभिनेता ने कम से कम 2008 से अपनी परिचालन उपस्थिति बनाए रखी है, इन वर्षों के दौरान उपकरणों की एक विस्तृत श्रृंखला का प्रदर्शन किया है। इस विशेष खतरे वाले अभिनेता द्वारा नियोजित कुछ अधिक प्रमुख टूलसेट का कालानुक्रमिक अवलोकन नीचे प्रस्तुत किया गया है।
पिंचड्यूक : इस टूलकिट में लोडर का एक संग्रह है जो समझौता किए गए सिस्टम में अतिरिक्त खतरनाक तत्वों या कार्यक्रमों को पेश करने के लिए डिज़ाइन किया गया है। इसमें घुसपैठ के लिए एक फ़ाइल पकड़ने वाला और एक क्रेडेंशियल चुराने वाला शामिल है। उत्तरार्द्ध विभिन्न डेटा स्रोतों को लक्षित करता है, जिसमें Microsoft प्रमाणक (पासपोर्ट.नेट), ईमेल क्लाइंट (Mail.ru, मोज़िला थंडरबर्ड, आउटलुक, द बैट!, याहू मेल), ब्राउज़र (इंटरनेट एक्सप्लोरर, मोज़िला फ़ायरफ़ॉक्स, नेटस्केप नेविगेटर), और मैसेजिंग शामिल हैं। सेवाएँ (Google टॉक), दूसरों के बीच में।
जेमिनीड्यूक : अपनी लोडर क्षमताओं और दृढ़ता सुनिश्चित करने के लिए कई एमईसी हैनिज्म के साथ, जेमिनीड्यूक डेटा चुराने वाले के रूप में कार्यक्षमताओं का भी दावा करता है, जो मुख्य रूप से डिवाइस कॉन्फ़िगरेशन डेटा एकत्र करने पर केंद्रित है। इस जानकारी में उपयोगकर्ता खाते, स्थापित ड्राइवर और सॉफ़्टवेयर, चल रही प्रक्रियाएँ, स्टार्टअप प्रोग्राम और सेवाएँ, नेटवर्क सेटिंग्स, विशिष्ट फ़ोल्डर और फ़ाइलें और हाल ही में एक्सेस किए गए प्रोग्राम और फ़ाइलें शामिल हैं।
कॉस्मिकड्यूक (बॉटगेनस्टूडियोज़, नेमेसिसजेमिना और टाइनीबारन के रूप में भी मान्यता प्राप्त): कई लोडर, दृढ़ता सुनिश्चित करने के लिए घटकों की एक श्रृंखला और विशेषाधिकार वृद्धि के लिए एक मॉड्यूल से युक्त, कॉस्मिकड्यूक मुख्य रूप से इसकी सूचना-चोरी क्षमताओं के आसपास घूमता है। यह विशिष्ट एक्सटेंशन वाली फ़ाइलों को बाहर निकाल सकता है, क्रिप्टोग्राफ़िक प्रमाणपत्र (निजी कुंजी सहित) निर्यात कर सकता है, स्क्रीनशॉट कैप्चर कर सकता है, कीस्ट्रोक्स (कीलॉगिंग) रिकॉर्ड कर सकता है, ब्राउज़र, ईमेल क्लाइंट और मैसेंजर से लॉग-इन क्रेडेंशियल पुनर्प्राप्त कर सकता है, साथ ही क्लिपबोर्ड से सामग्री एकत्र कर सकता है (कॉपी करें) -पेस्ट बफर)।
मिनीड्यूक : यह मैलवेयर विभिन्न पुनरावृत्तियों में आता है, जिसमें लोडर, डाउनलोडर और बैकडोर कार्यक्षमताएं शामिल हैं। मिनीड्यूक का उपयोग मुख्य रूप से बाद के संक्रमणों के लिए एक प्रणाली तैयार करने या ऐसे संक्रमणों की प्रगति को सुविधाजनक बनाने के लिए किया जाता है।
ड्यूक मैलवेयर परिवार का विस्तार जारी है
शोधकर्ताओं ने ड्यूक मैलवेयर परिवार से संबंधित और APT29 के दुर्भावनापूर्ण शस्त्रागार के हिस्से के रूप में उपयोग किए जा रहे कई और खतरों की पहचान करने में कामयाबी हासिल की है।
CozyDuke , जिसे Cozer, CozyBear, CozyCar और EuroAPT के नाम से भी जाना जाता है, मुख्य रूप से एक पिछले दरवाजे के रूप में कार्य करता है। इसका मुख्य उद्देश्य बाद के संक्रमणों, विशेष रूप से अपने स्वयं के मॉड्यूल के लिए एक प्रवेश बिंदु स्थापित करना है, जिसे अक्सर 'पिछले दरवाजे' के रूप में जाना जाता है। इसे प्राप्त करने के लिए, यह दृढ़ता सुनिश्चित करने के लिए डिज़ाइन किए गए कई मॉड्यूल के साथ मिलकर एक ड्रॉपर का उपयोग करता है।
इसके घटकों में सिस्टम डेटा निकालने, मौलिक Cmd.exe कमांड निष्पादित करने, स्क्रीनशॉट कैप्चर करने और लॉग-इन क्रेडेंशियल्स चुराने के लिए समर्पित हैं। उल्लेखनीय रूप से, CozyDuke के पास अन्य फ़ाइलों में घुसपैठ करने और निष्पादित करने की क्षमता भी है, जिसका अर्थ है कि मैलवेयर संक्रमणों के व्यापक स्पेक्ट्रम को सुविधाजनक बनाने की क्षमता है।
OnionDuke संभावित कॉन्फ़िगरेशन के विविध सेट के साथ खुद को मॉड्यूलर मैलवेयर के रूप में प्रस्तुत करता है। लोडर और ड्रॉपर क्षमताओं से लैस, यह प्रोग्राम सूचना-चोरी करने वाले मॉड्यूल की एक श्रृंखला पेश करता है, जिसमें पासवर्ड और अन्य संवेदनशील डेटा एकत्र करने पर केंद्रित मॉड्यूल शामिल हैं। इसके अतिरिक्त, इसमें डिस्ट्रीब्यूटेड डेनियल-ऑफ-सर्विस (डीडीओएस) हमलों को लॉन्च करने के लिए तैयार एक घटक शामिल है। एक अन्य मॉड्यूल को स्पैम अभियान शुरू करने, संभावित रूप से संक्रमण की पहुंच को बढ़ाने के लिए समझौता किए गए सोशल नेटवर्किंग खातों का फायदा उठाने के लिए तैयार किया गया है।
सीड्यूक , जिसे सीडैडी और सीडस्क भी कहा जाता है, एक क्रॉस-प्लेटफॉर्म बैकडोर के रूप में सामने आता है जिसे विंडोज और लिनक्स दोनों सिस्टम पर संचालित करने के लिए डिज़ाइन किया गया है। अपनी सापेक्ष सादगी के बावजूद, SeaDuke एक मौलिक टूलसेट के रूप में कार्य करता है, जो मुख्य रूप से संक्रमण फैलाने के लिए घुसपैठ की गई फ़ाइलों को निष्पादित करने की ओर उन्मुख है।
हैमरड्यूक , जिसे वैकल्पिक रूप से हैमरटॉस और नेटड्यूक के नाम से जाना जाता है, एक सीधे पिछले दरवाजे के रूप में उभरता है। इसका स्पष्ट उपयोग विशेष रूप से एक द्वितीयक पिछले दरवाजे के रूप में नोट किया गया है जो कोज़ीड्यूक संक्रमण के बाद होता है।
क्लाउडड्यूक को क्लाउडलुक और मिनीडायनिस के रूप में भी जाना जाता है, जो दो पिछले दरवाजे संस्करणों में प्रकट होता है। यह मैलवेयर डाउनलोडर और लोडर कार्यक्षमताओं को शामिल करता है, जो मुख्य रूप से पूर्वनिर्धारित स्थानों से पेलोड लाने और स्थापित करने के लिए निर्देशित होता है, चाहे वह इंटरनेट से हो या माइक्रोसॉफ्ट वनड्राइव खाते से।
यह रेखांकित करना महत्वपूर्ण है कि ड्यूक्स एपीटी अभिनेता द्वारा नए मैलवेयर टूलसेट पेश करने की संभावना काफी बनी हुई है, जब तक कि उनका संचालन बंद न हो जाए। उनकी गतिविधियों की प्रकृति उनकी रणनीतियों और तकनीकों में नवाचार की निरंतर क्षमता का सुझाव देती है।
