Duke Malware
A Duke egy átfogó kifejezés, amely az APT29 APT (Advanced Persistent Threat) szereplője által telepített rosszindulatú szoftverek gyűjteményét jelöli. Ez a színész, akit több álnéven ismernek fel, mint például a The Dukes, a Cloaked Ursa, a CozyBear, a Nobelium és az UNC2452, a kiberbehatolások területén tevékenykedik. Az APT29 az Orosz Föderáció Külföldi Hírszerző Szolgálatához (SVR RF) kapcsolódik, ami azt jelenti, hogy az oroszországi származás államilag támogatott. A csoport törekvései politikai és geopolitikai motivációkban gyökereznek, a hírszerzésre és a kiberkémkedésre összpontosítva.
A Duke rosszindulatú szoftvercsalád ernyője alatt fenyegető szoftverek széles skálája rejlik, amelyek különféle típusokat foglalnak magukban, például rendszer hátsó ajtókat, betöltőket, információlopókat, folyamatzavarókat és még sok mást.
A The Dukes csoporttal kapcsolatos támadási kampány legutóbbi esetére 2023-ban került sor. Ez a kampány rosszindulatú PDF-dokumentumok terjesztését jelentette, amelyek a német nagykövetségtől származó diplomáciai meghívóknak álcázták magukat. Nevezetesen, ez az e-mail kampány a NATO-hoz csatlakozott országok külügyminisztériumait célozta meg, hangsúlyozva a csoport stratégiai célzottságát és lehetséges geopolitikai vonatkozásait.
A kiberbűnözők speciális Duke malware fenyegetéseket hoztak létre
A The Dukes néven ismert APT színész legalább 2008 óta megőrizte operatív jelenlétét, és az évek során eszközök széles skáláját mutatta be. Az alábbiakban kronologikus áttekintést adunk az adott fenyegető szereplő által használt néhány kiemelkedőbb eszközkészletről.
PinchDuke : Ez az eszközkészlet betöltők gyűjteményét tartalmazza, amelyek további fenyegető elemek vagy programok beillesztésére szolgálnak a feltört rendszerekbe. Tartalmaz egy kiszűrésre szánt fájlfogót és egy hitelesítő adatlopót. Ez utóbbi különféle adatforrásokat céloz meg, köztük a Microsoft Authenticatort (passport.net), az e-mail klienseket (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), a böngészőket (Internet Explorer, Mozilla Firefox, Netscape Navigator) és az üzenetkezelést. szolgáltatások (Google Talk), többek között.
GeminiDuke : A betöltő képességekkel és a kitartást biztosító többféle mechanizmussal a GeminiDuke adatlopói funkciókkal is büszkélkedhet, elsősorban az eszközkonfigurációs adatok gyűjtésére összpontosítva. Ezek az információk magukban foglalják a felhasználói fiókokat, a telepített illesztőprogramokat és szoftvereket, a futó folyamatokat, az indítási programokat és szolgáltatásokat, a hálózati beállításokat, az adott mappákat és fájlokat, valamint a közelmúltban elért programokat és fájlokat.
CosmicDuke (BotgenStudios, NemesisGemina és Tinybaron néven is ismert): A CosmicDuke több betöltőt, a kitartást biztosító komponensek sorát és a jogosultságok kiszélesítését szolgáló modult tartalmaz. A CosmicDuke elsősorban információlopási képességei köré épül. Kiszűrheti a meghatározott kiterjesztésű fájlokat, exportálhat titkosítási tanúsítványokat (beleértve a privát kulcsokat is), képernyőképeket készíthet, billentyűleütéseket rögzíthet (billentyűnaplózás), bejelentkezési hitelesítő adatokat kérhet le böngészőkből, e-mail kliensekből és üzenetküldőkből, valamint tartalmat gyűjthet a vágólapról (másolás). -paste puffer).
MiniDuke : Ez a rosszindulatú program különféle iterációkban érkezik, beleértve a betöltőt, a letöltőt és a hátsó ajtó funkciókat. A MiniDuke-ot elsősorban arra használják, hogy előkészítsenek egy rendszert a későbbi fertőzésekre, vagy elősegítsék az ilyen fertőzések progresszióját.
A Duke Malware család tovább bővül
A kutatóknak számos további fenyegetést sikerült azonosítaniuk, amelyek a Duke malware családhoz tartoznak, és amelyeket az APT29 rosszindulatú arzenáljának részeként használnak.
A CozyDuke , más néven Cozer, CozyBear, CozyCar és EuroAPT, elsősorban hátsó ajtóként funkcionál. Alapvető célja egy belépési pont létrehozása, amelyet gyakran „hátsó ajtónak” neveznek, a későbbi fertőzések számára, különösen a saját moduljai számára. Ennek eléréséhez egy cseppentőt alkalmaz több olyan modullal együtt, amelyek a tartósságot biztosítják.
Összetevői között megtalálhatók a rendszeradatok kinyerésére, az alapvető Cmd.exe parancsok végrehajtására, a képernyőképek rögzítésére és a bejelentkezési adatok ellopására szolgáló elemek. Figyelemre méltó, hogy a CozyDuke képes más fájlok beszivárgására és végrehajtására is, ami arra utal, hogy elősegítheti a rosszindulatú programok fertőzéseinek széles spektrumát.
Az OnionDuke moduláris kártevőként mutatja be magát, sokféle konfigurációval. A betöltő és csepegtető képességekkel felvértezve ez a program egy sor információlopó modult mutat be, beleértve azokat is, amelyek a jelszavak és más érzékeny adatok begyűjtésére összpontosítanak. Ezenkívül tartalmaz egy komponenst, amely az elosztott szolgáltatásmegtagadási (DDoS) támadások indítására szolgál. Egy másik modult a feltört közösségi hálózatok fiókjainak kihasználására fejlesztettek ki spamkampányok indítására, ami potenciálisan megnöveli a fertőzés terjedését.
A SeaDuke , más néven SeaDaddy és SeaDask, kiemelkedik, mint egy többplatformos hátsó ajtó, amelyet Windows és Linux rendszerekre egyaránt terveztek. Viszonylagos egyszerűsége ellenére a SeaDuke alapvető eszközkészletként szolgál, elsősorban a beszivárgott fájlok végrehajtására a fertőzés terjesztésére.
A HammerDuke , felváltva HAMMERTOSS és Netduke néven ismert, egyszerű hátsó ajtóként jelenik meg. Érzékelhető használatát kizárólag másodlagos hátsó ajtóként jegyezték meg, amely CozyDuke fertőzést követ.
A CloudDuke CloudLook és MiniDionis néven is ismert, két hátsó ajtós verzióban jelenik meg. Ez a rosszindulatú program letöltő és betöltő funkciókat foglal magában, amelyek elsősorban előre meghatározott helyekről származó hasznos anyagok lekérésére és telepítésére irányulnak, akár az internetről, akár egy Microsoft OneDrive-fiókból.
Kulcsfontosságú hangsúlyozni, hogy a The Dukes APT színészének esélye új kártevő-eszközkészletek bevezetésére továbbra is jelentős marad, hacsak működésük le nem áll. Tevékenységük jellege azt sugallja, hogy stratégiáikban és technikáikban tartós innovációs potenciál rejlik.
