Duke Malware

Duke ialah istilah menyeluruh yang menunjukkan koleksi set alat perisian hasad yang digunakan oleh pelakon APT29 APT (Advanced Persistent Threat). Pelakon ini, yang diiktiraf oleh berbilang alias seperti The Dukes, Cloaked Ursa, CozyBear, Nobelium dan UNC2452, beroperasi dalam lingkungan pencerobohan siber. APT29 bergabung dengan Perkhidmatan Perisikan Asing Persekutuan Rusia (SVR RF), menandakan asal tajaan negara dari Rusia. Usaha kumpulan itu berakar umbi dalam motivasi politik dan geopolitik, memfokuskan pada pengumpulan risikan dan alam pengintipan siber.

Di bawah naungan keluarga perisian hasad Duke terdapat pelbagai perisian yang mengancam, merangkumi pelbagai jenis seperti pintu belakang sistem, pemuat, pencuri maklumat, pengganggu proses dan banyak lagi.

Contoh terbaru kempen serangan yang dikaitkan dengan kumpulan The Dukes berlaku pada tahun 2023. Kempen ini melibatkan penyebaran dokumen PDF berniat jahat yang menyamar sebagai jemputan diplomatik yang berasal dari kedutaan Jerman. Terutama sekali, kempen e-mel ini menyasarkan kementerian luar negara yang sejajar dengan NATO, menggariskan sasaran strategik kumpulan itu dan potensi implikasi geopolitik.

Penjenayah Siber Mencipta Ancaman Peribadi Duke Khusus

Pelakon APT yang dikenali sebagai The Dukes telah mengekalkan kehadiran operasinya sejak sekurang-kurangnya 2008, mempamerkan rangkaian alat yang luas sepanjang tahun ini. Dibentangkan di bawah ialah gambaran keseluruhan kronologi beberapa set alat yang lebih menonjol yang digunakan oleh aktor ancaman khusus ini.

PinchDuke : Kit alat ini menampilkan koleksi pemuat yang direka untuk memperkenalkan elemen atau program ancaman tambahan ke dalam sistem yang terjejas. Ia merangkumi perebut fail yang bertujuan untuk exfiltration dan pencuri kelayakan. Yang terakhir menyasarkan pelbagai sumber data, termasuk Microsoft Authenticator (passport.net), pelanggan e-mel (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), pelayar (Internet Explorer, Mozilla Firefox, Netscape Navigator), dan pemesejan perkhidmatan (Google Talk), antara lain.

GeminiDuke : Dengan keupayaan pemuatnya dan pelbagai mekanisme untuk memastikan kegigihan, GeminiDuke juga mempunyai fungsi sebagai pencuri data, yang kebanyakannya tertumpu pada pengumpulan data konfigurasi peranti. Maklumat ini termasuk akaun pengguna, pemacu dan perisian yang dipasang, proses berjalan, program dan perkhidmatan permulaan, tetapan rangkaian, folder dan fail tertentu serta program dan fail yang diakses baru-baru ini.

CosmicDuke   (juga diiktiraf sebagai BotgenStudios, NemesisGemina dan Tinybaron): Terdiri daripada beberapa pemuat, pelbagai komponen untuk memastikan kegigihan dan modul untuk peningkatan keistimewaan, CosmicDuke terutamanya berkisar pada keupayaan mencuri maklumatnya. Ia boleh mengeluarkan fail dengan sambungan tertentu, mengeksport sijil kriptografi (termasuk kunci peribadi), menangkap tangkapan skrin, merekod ketukan kekunci (keylogging), mendapatkan semula bukti kelayakan log masuk daripada penyemak imbas, klien e-mel dan messenger, serta mengumpul kandungan daripada papan keratan (salinan -tampal penimbal).

MiniDuke : Malware ini datang dalam pelbagai lelaran, merangkumi fungsi pemuat, muat turun dan pintu belakang. MiniDuke digunakan terutamanya untuk sama ada menyediakan sistem untuk jangkitan berikutnya atau memudahkan perkembangan jangkitan tersebut.

Keluarga Malware Duke Terus Berkembang

Penyelidik telah berjaya mengenal pasti beberapa lagi ancaman yang dimiliki oleh keluarga perisian hasad Duke dan digunakan sebagai sebahagian daripada senjata jahat APT29.

CozyDuke , juga diiktiraf sebagai Cozer, CozyBear, CozyCar dan EuroAPT, berfungsi terutamanya sebagai pintu belakang. Tujuan terasnya adalah untuk mewujudkan pintu masuk, sering dirujuk sebagai 'pintu belakang,' untuk jangkitan berikutnya, terutamanya modulnya sendiri. Untuk mencapai matlamat ini, ia menggunakan penitis bersama dengan berbilang modul yang direka untuk memastikan kegigihan.

Antara komponennya ialah yang khusus untuk mengekstrak data sistem, melaksanakan perintah Cmd.exe asas, menangkap tangkapan skrin dan merompak bukti kelayakan log masuk. Hebatnya, CozyDuke juga mempunyai keupayaan untuk menyusup dan melaksanakan fail lain, membayangkan potensi untuk memudahkan spektrum luas jangkitan perisian hasad.

OnionDuke menampilkan dirinya sebagai perisian hasad modular dengan pelbagai set konfigurasi yang mungkin. Berbekalkan keupayaan pemuat dan penitis, program ini memperkenalkan pelbagai modul mencuri maklumat, termasuk yang tertumpu pada penuaian kata laluan dan data sensitif lain. Selain itu, ia menampilkan komponen yang ditujukan untuk melancarkan serangan Penafian Perkhidmatan (DDoS) Teragih. Modul lain direka untuk mengeksploitasi akaun rangkaian sosial yang terjejas untuk memulakan kempen spam, yang berpotensi meningkatkan jangkauan jangkitan.

SeaDuke , juga dirujuk sebagai SeaDaddy dan SeaDask, menonjol sebagai pintu belakang merentas platform yang direka untuk beroperasi pada kedua-dua sistem Windows dan Linux. Walaupun kesederhanaan relatifnya, SeaDuke berfungsi sebagai set alat asas, terutamanya berorientasikan ke arah melaksanakan fail yang disusupi untuk menyebarkan jangkitan.

HammerDuke , dikenali secara bergantian sebagai HAMMERTOSS dan Netduke, muncul sebagai pintu belakang yang mudah. Penggunaannya yang boleh dilihat secara eksklusif telah dinyatakan sebagai pintu belakang sekunder yang mengikuti jangkitan CozyDuke.

CloudDuke juga diiktiraf sebagai CloudLook dan MiniDionis, dimanifestasikan dalam dua versi pintu belakang. Perisian hasad ini merangkumi fungsi pemuat turun dan pemuat, terutamanya ditujukan untuk mengambil dan memasang muatan dari lokasi yang dipratentukan, sama ada dari Internet atau akaun Microsoft OneDrive.

Adalah penting untuk menggariskan bahawa prospek pelakon The Dukes APT memperkenalkan set alat perisian hasad baharu kekal besar melainkan operasi mereka terhenti. Sifat aktiviti mereka menunjukkan potensi inovasi yang berterusan dalam strategi dan teknik mereka.