Duke Malware

Duke er det overordnede begrepet som betegner en samling av malware-verktøysett som er distribuert av APT29 APT (Advanced Persistent Threat)-aktøren. Denne skuespilleren, anerkjent av flere aliaser som The Dukes, Cloaked Ursa, CozyBear, Nobelium og UNC2452, opererer innenfor området cyberinntrengninger. APT29 er tilknyttet den russiske føderasjonens utenlandske etterretningstjeneste (SVR RF), som betyr en statsstøttet opprinnelse fra Russland. Gruppens arbeid er forankret i politiske og geopolitiske motivasjoner, med fokus på etterretningsinnhenting og nettspionasje.

Under paraplyen til Duke malware-familien ligger et ekspansivt utvalg av truende programvare, som omfatter ulike typer som systembakdører, lastere, infostelere, prosessforstyrrere og mer.

Det siste tilfellet av en angrepskampanje knyttet til The Dukes-gruppen fant sted i 2023. Denne kampanjen innebar spredning av ondsinnede PDF-dokumenter som kamuflerte seg selv som diplomatiske invitasjoner fra den tyske ambassaden. Spesielt var denne e-postkampanjen rettet mot utenriksdepartementene til nasjoner som er på linje med NATO, og understreket gruppens strategiske målretting og potensielle geopolitiske implikasjoner.

De nettkriminelle opprettet spesialiserte Duke-malware-trusler

APT-skuespilleren kjent som The Dukes har opprettholdt sin operative tilstedeværelse siden minst 2008, og har vist et omfattende utvalg av verktøy i løpet av disse årene. Nedenfor presenteres en kronologisk oversikt over noen av de mer fremtredende verktøysettene som brukes av denne trusselaktøren.

PinchDuke : Dette verktøysettet inneholder en samling lastere designet for å introdusere flere truende elementer eller programmer i kompromitterte systemer. Den omfatter en filhenter beregnet for eksfiltrering og en legitimasjonstyver. Sistnevnte retter seg mot ulike datakilder, inkludert Microsoft Authenticator (passport.net), e-postklienter (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), nettlesere (Internet Explorer, Mozilla Firefox, Netscape Navigator) og meldingstjenester tjenester (Google Talk), blant andre.

GeminiDuke : Med sine lastefunksjoner og flere mekanismer for å sikre utholdenhet, kan GeminiDuke også skryte av funksjonalitet som en datatyver, hovedsakelig fokusert på å samle inn enhetskonfigurasjonsdata. Denne informasjonen inkluderer brukerkontoer, installerte drivere og programvare, kjørende prosesser, oppstartsprogrammer og -tjenester, nettverksinnstillinger, spesifikke mapper og filer og nylig åpnede programmer og filer.

CosmicDuke   (også anerkjent som BotgenStudios, NemesisGemina og Tinybaron): Bestående av flere lastere, en rekke komponenter for å sikre utholdenhet og en modul for privilegieeskalering, dreier CosmicDuke først og fremst om sine evner til å stjele informasjon. Den kan eksfiltrere filer med spesifikke utvidelser, eksportere kryptografiske sertifikater (inkludert private nøkler), ta skjermbilder, registrere tastetrykk (tastelogging), hente innloggingsinformasjon fra nettlesere, e-postklienter og messengers, samt samle innhold fra utklippstavlen (kopi -lim inn buffer).

MiniDuke : Denne skadelige programvaren kommer i forskjellige iterasjoner, og omfatter en laster, nedlaster og bakdørsfunksjoner. MiniDuke brukes primært til enten å forberede et system for påfølgende infeksjoner eller lette utviklingen av slike infeksjoner.

Duke Malware-familien fortsetter å utvide seg

Forskere har klart å identifisere flere trusler som tilhører Duke malware-familien og brukes som en del av det ondsinnede arsenalet til APT29.

CozyDuke , også anerkjent som Cozer, CozyBear, CozyCar og EuroAPT, fungerer først og fremst som en bakdør. Dens kjerneformål er å etablere et inngangspunkt, ofte referert til som en "bakdør", for påfølgende infeksjoner, spesielt sine egne moduler. For å oppnå dette bruker den en dropper i forbindelse med flere moduler designet for å sikre utholdenhet.

Blant komponentene er de som er dedikert til å trekke ut systemdata, utføre grunnleggende Cmd.exe-kommandoer, ta skjermbilder og stjele påloggingsinformasjon. Bemerkelsesverdig nok har CozyDuke også muligheten til å infiltrere og kjøre andre filer, noe som antyder potensialet til å tilrettelegge for et bredt spekter av malware-infeksjoner.

OnionDuke presenterer seg som modulær skadelig programvare med et mangfoldig sett med mulige konfigurasjoner. Bevæpnet med laste- og dropper-funksjoner, introduserer dette programmet en rekke moduler for å stjele informasjon, inkludert de som fokuserer på innsamling av passord og andre sensitive data. I tillegg har den en komponent rettet mot å lansere DDoS-angrep (Distributed Denial-of-Service). En annen modul er utviklet for å utnytte kompromitterte sosiale nettverkskontoer for å starte spamkampanjer, og potensielt forsterke rekkevidden til infeksjonen.

SeaDuke , også referert til som SeaDaddy og SeaDask, skiller seg ut som en bakdør på tvers av plattformer designet for å fungere på både Windows- og Linux-systemer. Til tross for sin relative enkelhet, fungerer SeaDuke som et grunnleggende verktøysett, primært orientert mot å kjøre infiltrerte filer for å spre infeksjonen.

HammerDuke , kjent vekselvis som HAMMERTOSS og Netduke, fremstår som en enkel bakdør. Den merkbare bruken har utelukkende blitt bemerket som en sekundær bakdør som følger en CozyDuke-infeksjon.

CloudDuke også anerkjent som CloudLook og MiniDionis, manifesterer seg i to bakdørsversjoner. Denne skadelige programvaren omfatter nedlastings- og lasterfunksjoner, primært rettet mot å hente og installere nyttelast fra forhåndsdefinerte steder, enten fra internett eller en Microsoft OneDrive-konto.

Det er avgjørende å understreke at utsiktene til at The Dukes APT-skuespilleren introduserer nye malware-verktøysett forblir betydelige med mindre deres operasjoner stopper opp. Arten av deres aktiviteter antyder et vedvarende potensial for innovasjon i deres strategier og teknikker.