Duke kenkėjiška programa

Duke yra bendras terminas, reiškiantis kenkėjiškų programų įrankių rinkinį, kurį įdiegė APT29 APT (Advanced Persistent Threat) veikėjas. Šis aktorius, atpažįstamas daugeliu slapyvardžių, tokių kaip The Dukes, Cloaked Ursa, CozyBear, Nobelium ir UNC2452, veikia kibernetinių įsibrovimų srityje. APT29 yra susijusi su Rusijos Federacijos užsienio žvalgybos tarnyba (SVR RF), o tai reiškia valstybės remiamą Rusijos kilmę. Grupės siekiai yra pagrįsti politinėmis ir geopolitinėmis motyvacijomis, daugiausia dėmesio skiriant žvalgybos duomenų rinkimui ir kibernetinio šnipinėjimo sričiai.

Po Duke kenkėjiškų programų šeimos skėčiu slypi daugybė grėsmingos programinės įrangos, apimančios įvairius tipus, pvz., sistemos užpakalines duris, kroviklius, informacijos vagystes, procesų trikdžius ir kt.

Paskutinis atakos kampanijos, susijusios su „The Dukes“ grupe, atvejis įvyko 2023 m. Šios kampanijos metu buvo platinami kenkėjiški PDF dokumentai, kurie buvo paslėpti kaip diplomatiniai kvietimai iš Vokietijos ambasados. Pažymėtina, kad ši el. pašto kampanija buvo skirta NATO šalių užsienio reikalų ministerijai, pabrėždama strateginį grupės taikymą ir galimas geopolitines pasekmes.

Kibernetiniai nusikaltėliai sukūrė specializuotas Duke kenkėjiškų programų grėsmes

APT aktorius, žinomas kaip The Dukes, išlaikė savo veiklą bent nuo 2008 m., per šiuos metus demonstruodamas platų įrankių asortimentą. Toliau pateikiama chronologinė kai kurių ryškesnių šio konkretaus grėsmės veikėjo naudojamų įrankių rinkinių apžvalga.

PinchDuke : Šiame įrankių rinkinyje yra krautuvų rinkinys, skirtas papildomiems grėsmingiems elementams ar programoms įvesti į pažeistas sistemas. Tai apima failų griebtuvą, skirtą išfiltruoti, ir kredencialų vagystę. Pastaroji skirta įvairiems duomenų šaltiniams, įskaitant Microsoft Authenticator (passport.net), el. pašto programas (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), naršykles (Internet Explorer, Mozilla Firefox, Netscape Navigator) ir pranešimų siuntimą. paslaugas („Google Talk“), be kita ko.

„GeminiDuke“ : „ GeminiDuke“ turi savo įkroviklio galimybes ir daugybę mechanizmų , užtikrinančių patvarumą, todėl gali pasigirti duomenų vagis, daugiausia dėmesio skiriant įrenginio konfigūracijos duomenų rinkimui. Ši informacija apima vartotojų abonementus, įdiegtas tvarkykles ir programinę įrangą, vykdomus procesus, paleisties programas ir paslaugas, tinklo nustatymus, konkrečius aplankus ir failus bei neseniai pasiektas programas ir failus.

CosmicDuke   (taip pat pripažinta kaip „BotgenStudios“, „NemesisGemina“ ir „Tinybaron“): „ CosmicDuke“ susideda iš kelių krautuvų, daugybės komponentų, užtikrinančių patvarumą, ir privilegijų eskalavimo modulį. Jis gali išfiltruoti failus su konkrečiais plėtiniais, eksportuoti kriptografinius sertifikatus (įskaitant privačius raktus), fiksuoti ekrano kopijas, įrašyti klavišų paspaudimus (klavišų registravimas), gauti prisijungimo kredencialus iš naršyklių, el. pašto programų ir pasiuntinių, taip pat rinkti turinį iš mainų srities (kopijuoti). -įklijavimo buferis).

„MiniDuke“ : ši kenkėjiška programa yra įvairių kartojimų, apimančių įkroviklį, atsisiuntimo programą ir užpakalinių durų funkcijas. MiniDuke pirmiausia naudojamas paruošti sistemą vėlesnėms infekcijoms arba palengvinti tokių infekcijų progresavimą.

Duke kenkėjiškų programų šeima toliau plečiasi

Tyrėjai sugebėjo nustatyti dar keletą grėsmių, priklausančių Duke kenkėjiškų programų šeimai ir naudojamos kaip kenkėjiško APT29 arsenalo dalis.

„CozyDuke“ , taip pat žinomas kaip „Cozer“, „CozyBear“, „CozyCar“ ir „EuroAPT“, pirmiausia veikia kaip užpakalinės durys. Pagrindinis jos tikslas yra sukurti įėjimo tašką, dažnai vadinamą „užpakalinėmis durimis“, vėlesnėms infekcijoms, ypač savo moduliams. Norėdami tai pasiekti, jame naudojamas lašintuvas kartu su keliais moduliais, skirtais užtikrinti patvarumą.

Tarp jo komponentų yra tie, kurie skirti sistemos duomenims išgauti, pagrindinėms Cmd.exe komandoms vykdyti, ekrano kopijoms fiksuoti ir prisijungimo kredencialams apiplėšti. Pažymėtina, kad CozyDuke taip pat turi galimybę įsiskverbti ir vykdyti kitus failus, o tai reiškia, kad gali palengvinti platų kenkėjiškų programų spektrą.

„OnionDuke“ pristato save kaip modulinę kenkėjišką programą su įvairiomis galimų konfigūracijų rinkiniu. Apginkluota krautuvo ir lašintuvo galimybėmis, ši programa pristato daugybę informacijos vagystės modulių, įskaitant tuos, kurie skirti slaptažodžių ir kitų neskelbtinų duomenų rinkimui. Be to, jame yra komponentas, skirtas paskirstytų paslaugų atsisakymo (DDoS) atakoms pradėti. Kitas modulis sukurtas siekiant išnaudoti pažeistas socialinių tinklų paskyras ir inicijuoti nepageidaujamo pašto kampanijas, galinčias padidinti infekcijos pasiekiamumą.

„SeaDuke“ , dar vadinamas „SeaDaddy“ ir „SeaDask“, išsiskiria kaip kelių platformų užpakalinės durys, skirtos veikti tiek „Windows“, tiek „Linux“ sistemose. Nepaisant santykinio paprastumo, „SeaDuke“ yra pagrindinis įrankių rinkinys, visų pirma orientuotas į įsiskverbtų failų vykdymą infekcijai platinti.

HammerDuke , pakaitomis žinomas kaip HAMMERTOSS ir Netduke, pasirodo kaip paprastas užpakalinis durelis. Jo pastebimas naudojimas buvo išskirtinai pažymėtas kaip antrinės užpakalinės durys, atsirandančios po CozyDuke infekcijos.

„CloudDuke“ , taip pat pripažinta „CloudLook“ ir „MiniDionis“, yra dviejose užpakalinių durų versijose. Ši kenkėjiška programa apima parsisiuntimo ir kroviklio funkcijas, pirmiausia skirtas paimti ir įdiegti naudingąsias apkrovas iš iš anksto nustatytų vietų, nesvarbu, ar iš interneto, ar iš „Microsoft OneDrive“ paskyros.

Labai svarbu pabrėžti, kad tikimybė, kad The Dukes APT aktorius pristatys naujus kenkėjiškų programų rinkinius, išlieka nemažas, nebent jų veikla sustos. Jų veiklos pobūdis rodo, kad jų strategijos ir metodai turi nuolatinį naujovių potencialą.