Duke Malware

Duke je sveobuhvatni pojam koji označava skup skupova alata zlonamjernog softvera koje je postavio akter APT29 APT (Advanced Persistent Threat). Ovaj glumac, poznat po više pseudonima kao što su The Dukes, Cloaked Ursa, CozyBear, Nobelium i UNC2452, djeluje u području cyber upada. APT29 je povezan s Vanjskom obavještajnom službom Ruske Federacije (SVR RF), što znači da potječe iz Rusije pod pokroviteljstvom države. Potrage grupe ukorijenjene su u političkim i geopolitičkim motivima, fokusirajući se na prikupljanje obavještajnih podataka i područje kibernetičke špijunaže.

Pod kišobranom obitelji Duke zlonamjernog softvera nalazi se širok niz prijetećeg softvera, koji obuhvaća različite vrste poput stražnjih vrata sustava, učitavača, kradljivaca informacija, ometača procesa i više.

Posljednji primjer kampanje napada povezane s grupom The Dukes dogodio se 2023. Ova kampanja uključivala je širenje zlonamjernih PDF dokumenata koji su se kamuflirali kao diplomatske pozivnice koje potječu iz njemačkog veleposlanstva. Značajno je da je ova kampanja putem e-pošte bila usmjerena na ministarstva vanjskih poslova zemalja članica NATO-a, naglašavajući strateško ciljanje skupine i potencijalne geopolitičke implikacije.

Kibernetički kriminalci stvorili su specijalizirane prijetnje zlonamjernim softverom Duke

Glumac APT-a poznat kao The Dukes zadržao je svoju operativnu prisutnost barem od 2008., izlažući širok raspon alata tijekom ovih godina. Dolje je predstavljen kronološki pregled nekih od istaknutijih skupova alata koje koristi ovaj određeni akter prijetnje.

PinchDuke : Ovaj skup alata sadrži zbirku učitavača dizajniranih za uvođenje dodatnih prijetećih elemenata ili programa u ugrožene sustave. Obuhvaća alat za otimanje datoteka namijenjen eksfiltraciji i kradljivac vjerodajnica. Potonji cilja na različite izvore podataka, uključujući Microsoft Authenticator (passport.net), klijente e-pošte (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), preglednike (Internet Explorer, Mozilla Firefox, Netscape Navigator) i razmjenu poruka usluge (Google Talk), između ostalog.

GeminiDuke : Sa svojim mogućnostima učitavanja i višestrukim mehanizmima koji osiguravaju postojanost, GeminiDuke se također može pohvaliti funkcijama kradljivca podataka, uglavnom usmjerenih na prikupljanje podataka o konfiguraciji uređaja. Ove informacije uključuju korisničke račune, instalirane upravljačke programe i softver, pokrenute procese, programe i usluge pri pokretanju, mrežne postavke, određene mape i datoteke te nedavno pristupane programe i datoteke.

Kozmički Vojvoda   (također prepoznat kao BotgenStudios, NemesisGemina i Tinybaron): Sadrži nekoliko učitavača, niz komponenti za osiguranje postojanosti i modul za eskalaciju privilegija, CosmicDuke se prvenstveno vrti oko svojih mogućnosti krađe informacija. Može eksfiltrirati datoteke s određenim ekstenzijama, izvoziti kriptografske certifikate (uključujući privatne ključeve), snimati snimke zaslona, bilježiti pritiske tipki (keylogging), dohvaćati vjerodajnice za prijavu iz preglednika, klijenata e-pošte i glasnika, kao i prikupljati sadržaj iz međuspremnika (kopirati -paste buffer).

MiniDuke : Ovaj zlonamjerni softver dolazi u različitim iteracijama, uključujući funkcije učitavanja, preuzimanja i stražnjih vrata. MiniDuke se primarno koristi za pripremu sustava za naknadne infekcije ili za olakšavanje napredovanja takvih infekcija.

Obitelj zlonamjernog softvera Duke nastavlja se širiti

Istraživači su uspjeli identificirati još nekoliko prijetnji koje pripadaju obitelji malwarea Duke i koriste se kao dio zlonamjernog arsenala APT29.

CozyDuke , također poznat kao Cozer, CozyBear, CozyCar i EuroAPT, prvenstveno funkcionira kao backdoor. Njegova temeljna svrha je uspostaviti ulaznu točku, koja se često naziva 'stražnja vrata', za naknadne infekcije, posebno za vlastite module. Da bi se to postiglo, koristi kapaljku u kombinaciji s više modula dizajniranih da osiguraju postojanost.

Među njegovim komponentama su one posvećene izdvajanju sistemskih podataka, izvršavanju temeljnih Cmd.exe naredbi, snimanju snimki zaslona i krađi vjerodajnica za prijavu. Nevjerojatno, CozyDuke također posjeduje sposobnost infiltracije i izvršavanja drugih datoteka, što implicira potencijal za olakšavanje širokog spektra infekcija zlonamjernim softverom.

OnionDuke se predstavlja kao modularni malware s raznolikim skupom mogućih konfiguracija. Naoružan mogućnostima učitavanja i ispuštanja, ovaj program uvodi niz modula za krađu informacija, uključujući one usmjerene na prikupljanje lozinki i drugih osjetljivih podataka. Dodatno, sadrži komponentu usmjerenu na pokretanje distribuiranih napada uskraćivanjem usluge (DDoS). Drugi modul osmišljen je za iskorištavanje kompromitiranih računa društvenih mreža za pokretanje spam kampanja, potencijalno povećavajući doseg infekcije.

SeaDuke , također poznat kao SeaDaddy i SeaDask, ističe se kao cross-platform backdoor dizajniran za rad na Windows i Linux sustavima. Unatoč svojoj relativnoj jednostavnosti, SeaDuke služi kao osnovni skup alata, prvenstveno orijentiran na izvršavanje infiltriranih datoteka za širenje infekcije.

HammerDuke , poznat naizmjenično kao HAMMERTOSS i Netduke, pojavljuje se kao jednostavna stražnja vrata. Njegova primjetna upotreba isključivo je zabilježena kao sekundarni backdoor koji slijedi nakon infekcije CozyDukeom.

CloudDuke također poznat kao CloudLook i MiniDionis, manifestira se u dvije backdoor verzije. Ovaj zlonamjerni softver obuhvaća funkcije preuzimanja i učitavanja, primarno usmjerene na dohvaćanje i instaliranje korisnih sadržaja s unaprijed definiranih lokacija, bilo s interneta ili Microsoft OneDrive računa.

Ključno je naglasiti da su izgledi da glumac The Dukes APT uvede nove alate za zlonamjerni softver i dalje značajni osim ako se njihove operacije ne zaustave. Priroda njihovih aktivnosti sugerira održivi potencijal za inovacije u njihovim strategijama i tehnikama.