Duke Malware
Duke គឺជាពាក្យទូទៅដែលបង្ហាញពីបណ្តុំនៃឧបករណ៍មេរោគដែលត្រូវបានដាក់ពង្រាយដោយតួអង្គនៃការគំរាមកំហែងជាប់រហូត កម្រិតខ្ពស់ (Advanced Persistent Threat)។ តួសម្តែងនេះ ដែលត្រូវបានទទួលស្គាល់ដោយឈ្មោះក្លែងក្លាយជាច្រើនដូចជា The Dukes, Cloaked Ursa, CozyBear, Nobelium និង UNC2452 ដំណើរការនៅក្នុងអាណាចក្រនៃការឈ្លានពានតាមអ៊ីនធឺណិត។ APT29 មានទំនាក់ទំនងជាមួយសេវាស៊ើបការណ៍បរទេសនៃសហព័ន្ធរុស្ស៊ី (SVR RF) ដែលបង្ហាញពីប្រភពដើមដែលឧបត្ថម្ភដោយរដ្ឋពីប្រទេសរុស្ស៊ី។ ការខិតខំប្រឹងប្រែងរបស់ក្រុមនេះត្រូវបានចាក់ឫសនៅក្នុងការលើកទឹកចិត្តផ្នែកនយោបាយ និងភូមិសាស្ត្រនយោបាយ ដោយផ្តោតលើការប្រមូលផ្តុំស៊ើបការណ៍ និងអាណាចក្រនៃចារកម្មតាមអ៊ីនធឺណិត។
នៅក្រោមឆ័ត្រនៃគ្រួសារមេរោគ Duke មានអារេដ៏ធំនៃកម្មវិធីគំរាមកំហែង ដែលគ្របដណ្តប់លើប្រភេទផ្សេងៗដូចជា ប្រព័ន្ធ backdoors, loaders, infostealers, process disruptors និងច្រើនទៀត។
ករណីថ្មីបំផុតនៃយុទ្ធនាការវាយប្រហារដែលទាក់ទងនឹងក្រុម The Dukes បានធ្វើឡើងក្នុងឆ្នាំ 2023។ យុទ្ធនាការនេះពាក់ព័ន្ធនឹងការផ្សព្វផ្សាយឯកសារ PDF ព្យាបាទ ដែលក្លែងបន្លំខ្លួនជាលិខិតអញ្ជើញការទូតដែលមានប្រភពមកពីស្ថានទូតអាល្លឺម៉ង់។ គួរកត់សម្គាល់ថា យុទ្ធនាការតាមអ៊ីមែលនេះ បានកំណត់គោលដៅលើក្រសួងកិច្ចការបរទេសនៃប្រទេសនានា ដែលស្របតាមអង្គការណាតូ ដោយគូសបញ្ជាក់អំពីការកំណត់គោលដៅជាយុទ្ធសាស្ត្ររបស់ក្រុម និងផលប៉ះពាល់ភូមិសាស្ត្រនយោបាយដែលមានសក្តានុពល។
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានបង្កើតការគំរាមកំហែងពិសេស Duke Malware
តួសម្តែង APT ដែលគេស្គាល់ថាជា The Dukes បានរក្សាវត្តមានប្រតិបត្តិការរបស់ខ្លួនចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2008 ដោយបង្ហាញឧបករណ៍យ៉ាងទូលំទូលាយក្នុងរយៈពេលប៉ុន្មានឆ្នាំនេះ។ បានបង្ហាញខាងក្រោមគឺជាទិដ្ឋភាពទូទៅនៃកាលប្បវត្តិនៃឧបករណ៍ដែលលេចធ្លោមួយចំនួនដែលប្រើដោយតួអង្គគំរាមកំហែងពិសេសនេះ។
PinchDuke ៖ ប្រអប់ឧបករណ៍នេះមានលក្ខណៈពិសេសបណ្តុំនៃកម្មវិធីផ្ទុកទិន្នន័យដែលបានរចនាឡើងដើម្បីណែនាំធាតុ ឬកម្មវិធីដែលគំរាមកំហែងបន្ថែមទៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ វារួមបញ្ចូលអ្នកចាប់យកឯកសារដែលមានបំណងសម្រាប់ការបណ្តេញចេញ និងអ្នកលួចព័ត៌មានសម្ងាត់។ ក្រោយមកទៀតកំណត់គោលដៅប្រភពទិន្នន័យផ្សេងៗ រួមទាំង Microsoft Authenticator (passport.net), កម្មវិធីអ៊ីមែល (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), កម្មវិធីរុករកតាមអ៊ីនធឺណិត (Internet Explorer, Mozilla Firefox, Netscape Navigator) និងការផ្ញើសារ។ សេវាកម្ម (Google Talk) ក្នុងចំណោមសេវាកម្មផ្សេងទៀត។
GeminiDuke : ជាមួយនឹងសមត្ថភាពផ្ទុករបស់វា និងមុខងារជាច្រើនរបស់ me c hanisms ដើម្បីធានាបាននូវភាពស្ថិតស្ថេរ GeminiDuke ក៏មានមុខងារជាអ្នកលួចទិន្នន័យ ដែលផ្តោតសំខាន់លើការប្រមូលទិន្នន័យកំណត់រចនាសម្ព័ន្ធឧបករណ៍។ ព័ត៌មាននេះរួមមានគណនីអ្នកប្រើប្រាស់ កម្មវិធីបញ្ជា និងកម្មវិធីដែលបានដំឡើង ដំណើរការដំណើរការ កម្មវិធី និងសេវាកម្មចាប់ផ្ដើម ការកំណត់បណ្តាញ ថតឯកសារជាក់លាក់ និងកម្មវិធី និងឯកសារដែលបានចូលប្រើនាពេលថ្មីៗនេះ។
CosmicDuke (ត្រូវបានទទួលស្គាល់ផងដែរថាជា BotgenStudios, NemesisGemina និង Tinybaron)៖ រួមបញ្ចូលនូវឧបករណ៍ផ្ទុកជាច្រើន ជួរនៃសមាសធាតុដើម្បីធានាបាននូវភាពជាប់លាប់ និងម៉ូឌុលសម្រាប់ការកើនឡើងឯកសិទ្ធិ CosmicDuke ផ្តោតសំខាន់ទៅលើសមត្ថភាពលួចព័ត៌មានរបស់វា។ វាអាចទាញយកឯកសារដែលមានផ្នែកបន្ថែមជាក់លាក់ នាំចេញវិញ្ញាបនបត្រគ្រីបគ្រីប (រួមទាំងសោឯកជន) ថតអេក្រង់ ថតការចុចគ្រាប់ចុច (keylogging) ទាញយកព័ត៌មានបញ្ជាក់ការចូលពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត កម្មវិធីអ៊ីមែល និងអ្នកនាំសារ ក៏ដូចជាប្រមូលមាតិកាពីក្តារតម្បៀតខ្ទាស់ (ចម្លង - បិទភ្ជាប់សតិបណ្ដោះអាសន្ន) ។
MiniDuke ៖ មេរោគនេះកើតឡើងក្នុងទម្រង់ផ្សេងៗគ្នា ដោយរួមបញ្ចូលកម្មវិធីផ្ទុកទិន្នន័យ កម្មវិធីទាញយក និងមុខងារខាងក្រោយ។ MiniDuke ត្រូវបានប្រើប្រាស់ជាចម្បងដើម្បីរៀបចំប្រព័ន្ធសម្រាប់ការឆ្លងមេរោគជាបន្តបន្ទាប់ ឬជួយសម្រួលដល់ការវិវត្តនៃការឆ្លងមេរោគបែបនេះ។
គ្រួសារ Duke Malware បន្តពង្រីក
អ្នកស្រាវជ្រាវបានគ្រប់គ្រងដើម្បីកំណត់អត្តសញ្ញាណការគំរាមកំហែងជាច្រើនទៀតដែលជាកម្មសិទ្ធិរបស់គ្រួសារមេរោគ Duke និងត្រូវបានប្រើប្រាស់ជាផ្នែកនៃឃ្លាំងអាវុធព្យាបាទ APT29 ។
CozyDuke ដែលត្រូវបានទទួលស្គាល់ផងដែរថាជា Cozer, CozyBear, CozyCar, និង EuroAPT ដំណើរការជាចម្បងជា backdoor ។ គោលបំណងស្នូលរបស់វាគឺដើម្បីបង្កើតចំណុចចូល ដែលជារឿយៗសំដៅថាជា 'backdoor' សម្រាប់ការឆ្លងមេរោគជាបន្តបន្ទាប់ ជាពិសេសម៉ូឌុលរបស់វាផ្ទាល់។ ដើម្បីសម្រេចបាននូវចំណុចនេះ វាប្រើឧបករណ៍ទម្លាក់ដោយភ្ជាប់ជាមួយម៉ូឌុលជាច្រើនដែលត្រូវបានរចនាឡើងដើម្បីធានាបាននូវភាពស្ថិតស្ថេរ។
ក្នុងចំណោមសមាសធាតុរបស់វា មានកម្មវិធីដែលឧទ្ទិសដល់ការទាញយកទិន្នន័យប្រព័ន្ធ ប្រតិបត្តិពាក្យបញ្ជា Cmd.exe ជាមូលដ្ឋាន ចាប់យករូបថតអេក្រង់ និងការលួចចូលព័ត៌មានសម្ងាត់។ គួរកត់សម្គាល់ថា CozyDuke ក៏មានសមត្ថភាពក្នុងការជ្រៀតចូល និងប្រតិបត្តិឯកសារផ្សេងទៀត ដែលបង្ហាញពីសក្តានុពលក្នុងការសម្រួលដល់ការឆ្លងមេរោគយ៉ាងទូលំទូលាយ។
OnionDuke បង្ហាញខ្លួនឯងថាជាមេរោគម៉ូឌុលជាមួយនឹងសំណុំចម្រុះនៃការកំណត់រចនាសម្ព័ន្ធដែលអាចធ្វើបាន។ បំពាក់ដោយសមត្ថភាពផ្ទុក និងឧបករណ៍ទម្លាក់ កម្មវិធីនេះណែនាំអារេនៃម៉ូឌុលលួចព័ត៌មាន រួមទាំងកម្មវិធីដែលផ្តោតលើការប្រមូលពាក្យសម្ងាត់ និងទិន្នន័យរសើបផ្សេងទៀត។ លើសពីនេះ វាមានលក្ខណៈពិសេសមួយ ដែលផ្តោតលើការចាប់ផ្តើមការវាយប្រហារ Distributed Denial-of-Service (DDoS)។ ម៉ូឌុលមួយផ្សេងទៀតត្រូវបានបង្កើតឡើងដើម្បីទាញយកគណនីបណ្តាញសង្គមដែលត្រូវបានសម្របសម្រួលសម្រាប់ការផ្តួចផ្តើមយុទ្ធនាការសារឥតបានការ ដែលអាចបង្កើនលទ្ធភាពនៃការឆ្លង។
SeaDuke ហៅផងដែរថា SeaDaddy និង SeaDask ឈរចេញជា backdoor ឆ្លងវេទិកាដែលត្រូវបានរចនាឡើងដើម្បីដំណើរការទាំងប្រព័ន្ធ Windows និង Linux ។ ទោះបីជាមានភាពសាមញ្ញទាក់ទងគ្នាក៏ដោយ SeaDuke បម្រើជាឧបករណ៍មូលដ្ឋានដែលតម្រង់ទិសជាចម្បងឆ្ពោះទៅរកការប្រតិបត្តិឯកសារដែលជ្រៀតចូលដើម្បីផ្សព្វផ្សាយការឆ្លង។
HammerDuke ដែលគេស្គាល់ឆ្លាស់គ្នាថាជា HAMMERTOSS និង Netduke លេចចេញជា backdoor ត្រង់។ ការប្រើប្រាស់ដែលអាចយល់បានរបស់វាត្រូវបានកត់សម្គាល់ទាំងស្រុងថាជា backdoor ទីពីរដែលធ្វើតាមការឆ្លងមេរោគ CozyDuke ។
CloudDuke ក៏ទទួលស្គាល់ថាជា CloudLook និង MiniDionis ដែលបង្ហាញនៅក្នុងកំណែ backdoor ពីរ។ មេរោគនេះរួមបញ្ចូលមុខងារកម្មវិធីទាញយក និងកម្មវិធីផ្ទុក ដែលផ្តោតជាចម្បងក្នុងការទៅយក និងដំឡើងបន្ទុកពីទីតាំងដែលបានកំណត់ជាមុន មិនថាពីអ៊ីនធឺណិត ឬគណនី Microsoft OneDrive ក៏ដោយ។
វាមានសារៈសំខាន់ណាស់ក្នុងការគូសបញ្ជាក់ថាការរំពឹងទុករបស់តួអង្គ The Dukes APT ដែលណែនាំឧបករណ៍មេរោគថ្មីនៅតែមានគួរឱ្យកត់សម្គាល់ លុះត្រាតែប្រតិបត្តិការរបស់ពួកគេឈប់ដំណើរការ។ ធម្មជាតិនៃសកម្មភាពរបស់ពួកគេបង្ហាញពីសក្តានុពលប្រកបដោយនិរន្តរភាពសម្រាប់ការច្នៃប្រឌិតនៅក្នុងយុទ្ធសាស្ត្រ និងបច្ចេកទេសរបស់ពួកគេ។
