Duke Malware

Duke è il termine generale che denota una raccolta di set di strumenti malware distribuiti dall'attore APT29 APT (Advanced Persistent Threat). Questo attore, riconosciuto da molteplici alias come The Dukes, Cloaked Ursa, CozyBear, Nobelium e UNC2452, opera nel regno delle intrusioni informatiche. APT29 è affiliato al Servizio di intelligence estero della Federazione Russa (SVR RF), a significare un'origine sponsorizzata dallo stato dalla Russia. Le attività del gruppo sono radicate in motivazioni politiche e geopolitiche, concentrandosi sulla raccolta di informazioni e sul regno dello spionaggio informatico.

Sotto l'ombrello della famiglia di malware Duke si trova una vasta gamma di software minaccioso, che comprende vari tipi come backdoor di sistema, caricatori, infostealer, interruzioni di processo e altro ancora.

L'istanza più recente di una campagna di attacco associata al gruppo The Dukes ha avuto luogo nel 2023. Questa campagna ha comportato la diffusione di documenti PDF dannosi che si camuffavano come inviti diplomatici provenienti dall'ambasciata tedesca. In particolare, questa campagna di posta elettronica ha preso di mira i ministeri degli Affari esteri delle nazioni allineate con la NATO, sottolineando l'obiettivo strategico del gruppo e le potenziali implicazioni geopolitiche.

I criminali informatici hanno creato minacce malware Duke specializzate

L'attore APT noto come The Dukes ha mantenuto la sua presenza operativa almeno dal 2008, esibendo una vasta gamma di strumenti nel corso di questi anni. Di seguito è presentata una panoramica cronologica di alcuni dei set di strumenti più importanti utilizzati da questo particolare attore di minacce.

PinchDuke : questo toolkit presenta una raccolta di caricatori progettati per introdurre ulteriori elementi o programmi minacciosi nei sistemi compromessi. Comprende un raccoglitore di file destinato all'esfiltrazione e un ladro di credenziali. Quest'ultimo prende di mira varie fonti di dati, tra cui Microsoft Authenticator (passport.net), client di posta elettronica (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), browser (Internet Explorer, Mozilla Firefox, Netscape Navigator) e messaggistica servizi (Google Talk), tra gli altri.

GeminiDuke : con le sue capacità di caricamento e molteplici meccanismi per garantire la persistenza, GeminiDuke vanta anche funzionalità come ladro di dati, focalizzato principalmente sulla raccolta dei dati di configurazione del dispositivo. Queste informazioni includono account utente, driver e software installati, processi in esecuzione, programmi e servizi di avvio, impostazioni di rete, cartelle e file specifici e programmi e file a cui si è avuto accesso di recente.

Duca Cosmico   (riconosciuto anche come BotgenStudios, NemesisGemina e Tinybaron): Composto da diversi caricatori, una gamma di componenti per garantire la persistenza e un modulo per l'escalation dei privilegi, CosmicDuke ruota principalmente attorno alle sue capacità di furto di informazioni. Può esfiltrare file con estensioni specifiche, esportare certificati crittografici (comprese le chiavi private), acquisire screenshot, registrare sequenze di tasti (keylogging), recuperare credenziali di accesso da browser, client di posta e messenger, nonché raccogliere contenuti dagli appunti (copia -incolla tampone).

MiniDuke : questo malware è disponibile in varie iterazioni, che comprendono funzionalità di caricamento, downloader e backdoor. MiniDuke viene utilizzato principalmente per preparare un sistema per successive infezioni o per facilitare la progressione di tali infezioni.

La famiglia Duke Malware continua ad espandersi

I ricercatori sono riusciti a identificare molte altre minacce appartenenti alla famiglia di malware Duke e utilizzate come parte dell'arsenale dannoso di APT29.

CozyDuke , noto anche come Cozer, CozyBear, CozyCar ed EuroAPT, funziona principalmente come backdoor. Il suo scopo principale è quello di stabilire un punto di ingresso, spesso denominato "backdoor", per le successive infezioni, in particolare i propri moduli. Per raggiungere questo obiettivo, impiega un contagocce in combinazione con più moduli progettati per garantire la persistenza.

Tra i suoi componenti ci sono quelli dedicati all'estrazione dei dati di sistema, all'esecuzione dei comandi fondamentali di Cmd.exe, all'acquisizione di schermate e al furto delle credenziali di accesso. Sorprendentemente, CozyDuke possiede anche la capacità di infiltrarsi ed eseguire altri file, il che implica il potenziale per facilitare un ampio spettro di infezioni da malware.

OnionDuke si presenta come malware modulare con una serie diversificata di possibili configurazioni. Dotato di funzionalità di caricamento e dropper, questo programma introduce una serie di moduli per il furto di informazioni, inclusi quelli incentrati sulla raccolta di password e altri dati sensibili. Inoltre, presenta un componente orientato al lancio di attacchi DDoS (Distributed Denial-of-Service). Un altro modulo è concepito per sfruttare account di social network compromessi per avviare campagne di spam, amplificando potenzialmente la portata dell'infezione.

SeaDuke , noto anche come SeaDaddy e SeaDask, si distingue come una backdoor multipiattaforma progettata per funzionare sia su sistemi Windows che Linux. Nonostante la sua relativa semplicità, SeaDuke funge da set di strumenti fondamentale, principalmente orientato all'esecuzione di file infiltrati per propagare l'infezione.

HammerDuke , noto alternativamente come HAMMERTOSS e Netduke, emerge come una semplice backdoor. Il suo utilizzo riconoscibile è stato notato esclusivamente come una backdoor secondaria che segue un'infezione da CozyDuke.

CloudDuke, noto anche come CloudLook e MiniDionis, si manifesta in due versioni backdoor. Questo malware comprende funzionalità di downloader e loader, dirette principalmente al recupero e all'installazione di payload da posizioni predefinite, sia da Internet che da un account Microsoft OneDrive.

È fondamentale sottolineare che la prospettiva dell'attore The Dukes APT di introdurre nuovi set di strumenti malware rimane considerevole a meno che le loro operazioni non vengano interrotte. La natura delle loro attività suggerisce un potenziale sostenuto di innovazione nelle loro strategie e tecniche.