듀크 멀웨어

듀크는 APT29 APT(Advanced Persistent Threat) 공격자가 배포한 맬웨어 도구 세트 모음을 나타내는 포괄적인 용어입니다. The Dukes, Cloaked Ursa, CozyBear, Nobelium 및 UNC2452와 같은 여러 별칭으로 알려진 이 행위자는 사이버 침입 영역 내에서 활동합니다. APT29는 SVR RF(Foreign Intelligence Service of the Russian Federation of the Russian Federation, SVR RF)에 소속되어 있으며, 이는 국가가 후원하는 러시아 출신임을 나타냅니다. 이 그룹의 추구는 정치적 및 지정학적 동기에 뿌리를 두고 있으며 정보 수집 및 사이버 스파이 영역에 중점을 둡니다.

Duke 맬웨어 계열의 우산 아래에는 시스템 백도어, 로더, 인포스틸러, 프로세스 교란자 등과 같은 다양한 유형을 포함하는 광범위한 위협 소프트웨어가 있습니다.

The Dukes 그룹과 관련된 공격 캠페인의 가장 최근 사례는 2023년에 발생했습니다. 이 캠페인에는 독일 대사관에서 발신된 외교 초대장으로 위장한 악성 PDF 문서의 유포가 포함되었습니다. 특히, 이 이메일 캠페인은 NATO와 제휴한 국가의 외교부를 대상으로 그룹의 전략적 목표와 잠재적인 지정학적 함의를 강조했습니다.

사이버 범죄자들이 만든 특수 Duke 멀웨어 위협

The Dukes로 알려진 APT 공격자는 적어도 2008년 이후로 작전 활동을 유지해 왔으며 수년 동안 광범위한 도구를 선보였습니다. 아래에는 이 특정 위협 행위자가 사용하는 더 두드러진 도구 집합에 대한 연대순 개요가 나와 있습니다.

PinchDuke : 이 툴킷은 손상된 시스템에 추가 위협 요소 또는 프로그램을 도입하도록 설계된 로더 모음을 제공합니다. 여기에는 유출을 위한 파일 그래버와 자격 증명 도용자가 포함됩니다. 후자는 Microsoft Authenticator(passport.net), 이메일 클라이언트(Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), 브라우저(Internet Explorer, Mozilla Firefox, Netscape Navigator) 및 메시징을 포함한 다양한 데이터 소스를 대상으로 합니다. 서비스(Google Talk) 등이 있습니다.

GeminiDuke : 로더 기능과 지속성을 보장하는 다중 메커니즘 을 갖춘 GeminiDuke는 주로 장치 구성 데이터 수집에 중점을 둔 데이터 스틸러 기능도 자랑합니다. 이 정보에는 사용자 계정, 설치된 드라이버 및 소프트웨어, 실행 중인 프로세스, 시작 프로그램 및 서비스, 네트워크 설정, 특정 폴더 및 파일, 최근에 액세스한 프로그램 및 파일이 포함됩니다.

코스믹듀크   (BotgenStudios, NemesisGemina 및 Tinybaron으로도 인식됨): CosmicDuke는 여러 로더, 지속성을 보장하기 위한 다양한 구성 요소 및 권한 에스컬레이션을 위한 모듈로 구성되며 주로 정보 도용 기능을 중심으로 합니다. 특정 확장자를 가진 파일을 유출하고, 암호화 인증서(개인 키 포함) 내보내기, 스크린샷 캡처, 키 입력 기록(키로깅), 브라우저, 이메일 클라이언트 및 메신저에서 로그인 자격 증명 검색, 클립보드에서 콘텐츠 수집(복사 -버퍼 붙여넣기).

MiniDuke : 이 맬웨어는 로더, 다운로더 및 백도어 기능을 포함하는 다양한 반복으로 나타납니다. MiniDuke는 주로 후속 감염에 대한 시스템을 준비하거나 그러한 감염의 진행을 촉진하는 데 사용됩니다.

Duke 맬웨어 제품군이 계속 확장되고 있습니다.

연구원들은 Duke 맬웨어 계열에 속하고 APT29의 악의적 무기고의 일부로 사용되는 몇 가지 추가 위협을 식별했습니다.

Cozer, CozyBear, CozyCar 및 EuroAPT로도 알려진 CozyDuke는 주로 백도어로 기능합니다. 핵심 목적은 후속 감염, 특히 자체 모듈에 대해 종종 '백도어'라고 하는 진입점을 설정하는 것입니다. 이를 달성하기 위해 지속성을 보장하도록 설계된 여러 모듈과 함께 드로퍼를 사용합니다.

구성 요소 중에는 시스템 데이터 추출, 기본 Cmd.exe 명령 실행, 스크린샷 캡처 및 로그인 자격 증명 도용 전용 구성 요소가 있습니다. 놀랍게도 CozyDuke는 다른 파일에 침투하여 실행할 수 있는 기능도 보유하고 있어 광범위한 맬웨어 감염을 용이하게 할 가능성이 있음을 암시합니다.

OnionDuke는 다양한 구성이 가능한 모듈식 맬웨어로 자신을 제시합니다. 로더 및 드롭퍼 기능으로 무장한 이 프로그램은 암호 및 기타 민감한 데이터를 수집하는 데 중점을 둔 모듈을 포함하여 일련의 정보 도용 모듈을 소개합니다. 또한 DDoS(Distributed Denial-of-Service) 공격을 실행하기 위한 구성 요소를 갖추고 있습니다. 또 다른 모듈은 스팸 캠페인을 시작하기 위해 손상된 소셜 네트워킹 계정을 악용하여 잠재적으로 감염 범위를 증폭시키기 위해 고안되었습니다.

SeaDaddy 및 SeaDask라고도 하는 SeaDuke는 Windows 및 Linux 시스템 모두에서 작동하도록 설계된 교차 플랫폼 백도어로 두드러집니다. 상대적인 단순성에도 불구하고 SeaDuke는 기본적으로 침투된 파일을 실행하여 감염을 전파하는 데 중점을 둔 기본 도구 세트 역할을 합니다.

HAMMERTOSS 및 Netduke로도 알려진 HammerDuke는 간단한 백도어로 등장합니다. 식별 가능한 용도는 CozyDuke 감염을 따르는 보조 백도어로 독점적으로 언급되었습니다.

CloudDuke는 CloudLook 및 MiniDionis로도 알려져 있으며 두 가지 백도어 버전으로 나타납니다. 이 맬웨어는 다운로더 및 로더 기능을 포함하며 주로 인터넷이나 Microsoft OneDrive 계정 등 미리 정의된 위치에서 페이로드를 가져와 설치하는 데 사용됩니다.

Dukes APT 공격자가 새로운 악성코드 툴셋을 도입할 가능성이 그들의 작업이 중단되지 않는 한 여전히 상당하다는 점을 강조하는 것이 중요합니다. 그들의 활동의 본질은 그들의 전략과 기술에서 혁신을 위한 지속적인 잠재력을 암시합니다.