Duke ļaunprātīga programmatūra

Duke ir visaptverošs termins, kas apzīmē ļaunprātīgas programmatūras rīku kopu, ko izvietojis APT29 APT (Advanced Persistent Threat) dalībnieks. Šis aktieris, ko atpazīst ar vairākiem aizstājvārdiem, piemēram, The Dukes, Cloaked Ursa, CozyBear, Nobelium un UNC2452, darbojas kiberielaušanās jomā. APT29 ir saistīts ar Krievijas Federācijas Ārējās izlūkošanas dienestu (SVR RF), kas nozīmē valsts sponsorētu izcelsmi no Krievijas. Grupas darbības pamatā ir politiskā un ģeopolitiskā motivācija, koncentrējoties uz izlūkdatu vākšanu un kiberspiegošanas sfēru.

Duke ļaunprātīgas programmatūras saimes paspārnē atrodas plašs apdraudošas programmatūras klāsts, kas ietver dažādus veidus, piemēram, sistēmas aizmugures durvis, iekrāvējus, informācijas zagļus, procesu traucētājus un daudz ko citu.

Pēdējais uzbrukuma kampaņas gadījums, kas saistīts ar grupu The Dukes, notika 2023. gadā. Šajā kampaņā tika izplatīti ļaunprātīgi PDF dokumenti, kas maskējās kā diplomātiski ielūgumi no Vācijas vēstniecības. Konkrēti, šī e-pasta kampaņa bija vērsta pret NATO valstu ārlietu ministrijām, uzsverot grupas stratēģisko mērķēšanu un iespējamo ģeopolitisko ietekmi.

Kibernoziedznieki izveidoja īpašus Duke ļaunprātīgas programmatūras draudus

APT aktieris, kas pazīstams kā The Dukes, ir saglabājis savu klātbūtni vismaz kopš 2008. gada, un šo gadu laikā ir izstādījis plašu rīku klāstu. Tālāk ir sniegts hronoloģisks pārskats par dažām ievērojamākām rīku kopām, ko izmanto šis konkrētais apdraudējuma dalībnieks.

PinchDuke : šajā rīkkopā ir iekļauta iekrāvēju kolekcija, kas paredzēta papildu apdraudošu elementu vai programmu ieviešanai apdraudētās sistēmās. Tas ietver failu satvērēju, kas paredzēts izfiltrēšanai, un akreditācijas datu zagļu. Pēdējais ir paredzēts dažādiem datu avotiem, tostarp Microsoft Authenticator (passport.net), e-pasta klientiem (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), pārlūkprogrammām (Internet Explorer, Mozilla Firefox, Netscape Navigator) un ziņojumapmaiņai. pakalpojumiem (Google Talk), cita starpā.

GeminiDuke : ar ielādēšanas iespējām un vairākiem mehānismiem , kas nodrošina noturību, GeminiDuke lepojas arī ar datu zagšanas funkcijām, galvenokārt koncentrējoties uz ierīces konfigurācijas datu apkopošanu. Šī informācija ietver lietotāju kontus, instalētos draiverus un programmatūru, darbojošos procesus, startēšanas programmas un pakalpojumus, tīkla iestatījumus, noteiktas mapes un failus, kā arī nesen piekļūtās programmas un failus.

Cosmic Duke   (atzīts arī kā BotgenStudios, NemesisGemina un Tinybaron): CosmicDuke ietver vairākus iekrāvējus, virkni komponentu, kas nodrošina noturību, un privilēģiju eskalācijas moduli, un tas galvenokārt ir saistīts ar informācijas zagšanas iespējām. Tas var izfiltrēt failus ar noteiktiem paplašinājumiem, eksportēt kriptogrāfiskos sertifikātus (tostarp privātās atslēgas), tvert ekrānuzņēmumus, ierakstīt taustiņsitienus (taustiņu reģistrēšana), izgūt pieteikšanās akreditācijas datus no pārlūkprogrammām, e-pasta klientiem un kurjeriem, kā arī apkopot saturu no starpliktuves (kopēt). -ielīmēšanas buferis).

MiniDuke : šai ļaunprogrammatūrai ir dažādas iterācijas, kas ietver ielādētāju, lejupielādētāju un aizmugures durvis. MiniDuke galvenokārt izmanto, lai sagatavotu sistēmu turpmākām infekcijām vai veicinātu šādu infekciju progresēšanu.

Duke Malware ģimene turpina paplašināties

Pētniekiem ir izdevies identificēt vēl vairākus draudus, kas pieder Duke ļaundabīgo programmu saimei un tiek izmantoti kā daļa no APT29 ļaunprātīgā arsenāla.

CozyDuke , kas pazīstams arī kā Cozer, CozyBear, CozyCar un EuroAPT, galvenokārt darbojas kā aizmugures durvis. Tās galvenais mērķis ir izveidot ieejas punktu, ko bieži dēvē par "aizmugures durvīm", turpmākām infekcijām, jo īpaši saviem moduļiem. Lai to panāktu, tas izmanto pilinātāju kopā ar vairākiem moduļiem, kas paredzēti noturības nodrošināšanai.

Starp tā komponentiem ir tie, kas paredzēti sistēmas datu iegūšanai, pamata Cmd.exe komandu izpildei, ekrānuzņēmumu tveršanai un pieteikšanās akreditācijas datu izzagšanai. Jāatzīmē, ka CozyDuke ir arī iespēja iefiltrēties un izpildīt citus failus, kas nozīmē, ka tas var veicināt plašu ļaunprātīgas programmatūras infekciju spektru.

OnionDuke sevi parāda kā modulāru ļaunprātīgu programmatūru ar daudzveidīgu iespējamo konfigurāciju kopumu. Šī programma ir aprīkota ar iekrāvēja un pilinātāja iespējām, un tā ievieš virkni informācijas zagšanas moduļu, tostarp tos, kas ir vērsti uz paroļu un citu sensitīvu datu iegūšanu. Turklāt tajā ir iekļauts komponents, kas paredzēts DDoS (Distributed Denial-of-Service) uzbrukumu uzsākšanai. Vēl viens modulis ir izstrādāts, lai izmantotu apdraudētus sociālo tīklu kontus surogātpasta kampaņu uzsākšanai, potenciāli pastiprinot infekcijas sasniedzamību.

SeaDuke , saukts arī par SeaDaddy un SeaDask, izceļas kā starpplatformu aizmugures durvis, kas paredzētas darbam gan Windows, gan Linux sistēmās. Neskatoties uz relatīvo vienkāršību, SeaDuke kalpo kā pamata rīku komplekts, kas galvenokārt ir orientēts uz infiltrētu failu izpildi, lai izplatītu infekciju.

HammerDuke , kas pazīstams kā HAMMERTOSS un Netduke, parādās kā vienkārša aizmugures durvis. Tās pamanāmā lietošana ir tikai atzīmēta kā sekundāra aizmugures durvis, kas seko CozyDuke infekcijai.

CloudDuke atzīts arī par CloudLook un MiniDionis, izpaužas divās aizmugures versijās. Šī ļaunprogrammatūra ietver lejupielādētāja un ielādētāja funkcijas, kas galvenokārt ir paredzētas lietderīgās slodzes iegūšanai un instalēšanai no iepriekš noteiktām vietām, neatkarīgi no tā, vai tas ir no interneta vai Microsoft OneDrive konta.

Ir ļoti svarīgi uzsvērt, ka izredzes, ka The Dukes APT aktieris ieviesīs jaunus ļaunprātīgas programmatūras rīku komplektus, joprojām ir ievērojams, ja vien viņu darbība netiks apturēta. Viņu darbības raksturs liecina par ilgtspējīgu inovācijas potenciālu viņu stratēģijās un paņēmienos.