ड्यूक मालवेयर

ड्यूक एपीटी२९ एपीटी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) अभिनेता द्वारा डिप्लोइ गरिएको मालवेयर टूलसेटको संग्रहलाई जनाउने व्यापक शब्द हो। द ड्युक्स, क्लोक्ड अर्सा, कोजीबियर, नोबेलियम, र UNC2452 जस्ता धेरै उपनामहरू द्वारा मान्यता प्राप्त यो अभिनेता, साइबर घुसपैठको दायरा भित्र काम गर्दछ। APT29 रूसी संघ (SVR RF) को विदेशी खुफिया सेवा संग सम्बद्ध छ, रसिया को राज्य द्वारा प्रायोजित मूल को संकेत गर्दछ। समूहको खोजीहरू राजनैतिक र भूराजनीतिक प्रेरणाहरूमा आधारित छन्, गुप्तचर भेला र साइबर जासुसीको दायरामा केन्द्रित छन्।

ड्यूक मालवेयर परिवारको छाता अन्तर्गत धम्की दिने सफ्टवेयरको एक विस्तृत श्रृंखला छ, जसमा विभिन्न प्रकारका प्रणाली ब्याकडोरहरू, लोडरहरू, इन्फोस्टेलरहरू, प्रक्रिया अवरोध गर्नेहरू र थप कुराहरू समावेश छन्।

ड्युक्स समूहसँग सम्बन्धित आक्रमण अभियानको सबैभन्दा हालैको उदाहरण २०२३ मा भएको थियो। यस अभियानमा जर्मन दूतावासबाट आएको कूटनीतिक निमन्त्रणाको रूपमा आफूलाई छद्म पार्ने दुर्भावनापूर्ण PDF कागजातहरूको प्रसार समावेश थियो। उल्लेखनीय रूपमा, यो इमेल अभियानले समूहको रणनीतिक लक्ष्यीकरण र सम्भावित भूराजनीतिक प्रभावहरूलाई रेखांकित गर्दै, NATO सँग पङ्क्तिबद्ध राष्ट्रहरूको विदेश मामिला मन्त्रालयहरूलाई लक्षित गर्‍यो।

साइबर अपराधीहरूले विशेष ड्यूक मालवेयर खतराहरू सिर्जना गरे

द ड्युक्स भनेर चिनिने एपीटी अभिनेताले कम्तिमा 2008 देखि आफ्नो परिचालन उपस्थिति कायम राखेको छ, यी वर्षहरूमा उपकरणहरूको विस्तृत श्रृंखला प्रदर्शन गर्दै। तल प्रस्तुत गरिएको यो विशेष खतरा अभिनेता द्वारा नियोजित केहि अधिक प्रमुख उपकरणसेट को एक कालक्रमात्मक सिंहावलोकन हो।

PinchDuke : यो टुलकिटले अतिरिक्त खतरा तत्वहरू वा प्रोग्रामहरू सम्झौता प्रणालीहरूमा परिचय गराउन डिजाइन गरिएको लोडरहरूको सङ्कलन सुविधा दिन्छ। यसले एक्सफिल्ट्रेसन र क्रेडेन्शियल स्टिलरको लागि अभिप्रेरित फाइल ग्राबरलाई समेट्छ। पछिल्लोले Microsoft Authenticator (passport.net), इमेल क्लाइन्टहरू (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), ब्राउजरहरू (Internet Explorer, Mozilla Firefox, Netscape Navigator), र मेसेजिङलगायत विभिन्न डेटा स्रोतहरूलाई लक्षित गर्दछ। सेवाहरू (Google Talk), अरूहरू बीच।

GeminiDuke : यसको लोडर क्षमताहरू र दृढता सुनिश्चित गर्न बहु me c hanisms संग, GeminiDuke ले डेटा चोरको रूपमा कार्यक्षमताहरू पनि गर्व गर्दछ, मुख्य रूपमा उपकरण कन्फिगरेसन डाटा सङ्कलनमा केन्द्रित। यो जानकारीमा प्रयोगकर्ता खाताहरू, स्थापित ड्राइभरहरू र सफ्टवेयरहरू, चलिरहेको प्रक्रियाहरू, स्टार्टअप कार्यक्रमहरू र सेवाहरू, नेटवर्क सेटिङहरू, विशेष फोल्डरहरू र फाइलहरू, र हालसालै पहुँच गरिएका कार्यक्रमहरू र फाइलहरू समावेश छन्।

CosmicDuke   (BotgenStudios, NemesisGemina, र Tinybaron को रूपमा पनि मान्यता प्राप्त): धेरै लोडरहरू, दृढता सुनिश्चित गर्न कम्पोनेन्टहरूको दायरा र विशेषाधिकार वृद्धिको लागि एक मोड्युल समावेश गर्दै, CosmicDuke मुख्य रूपमा यसको जानकारी-चोरी क्षमताहरू वरिपरि घुम्छ। यसले विशिष्ट विस्तारहरू, क्रिप्टोग्राफिक प्रमाणपत्रहरू (निजी कुञ्जीहरू सहित) निर्यात गर्न, स्क्रिनसटहरू क्याप्चर गर्न, रेकर्ड किस्ट्रोकहरू (कीलगिङ), ब्राउजरहरू, इमेल क्लाइन्टहरू र मेसेन्जरहरूबाट लग-इन प्रमाणहरू पुन: प्राप्त गर्न, साथै क्लिपबोर्डबाट सामग्री सङ्कलन गर्न सक्छ। - पेस्ट बफर)।

MiniDuke : यो मालवेयर लोडर, डाउनलोडर, र ब्याकडोर कार्यक्षमताहरू समावेश गरी विभिन्न पुनरावृत्तिहरूमा आउँछ। MiniDuke मुख्यतया कि त पछिको संक्रमणहरूको लागि प्रणाली तयार गर्न वा त्यस्ता संक्रमणहरूको प्रगतिलाई सहज बनाउन प्रयोग गरिन्छ।

ड्यूक मालवेयर परिवार विस्तार गर्न जारी छ

अन्वेषकहरूले ड्यूक मालवेयर परिवारसँग सम्बन्धित र APT29 को दुर्भावनापूर्ण शस्त्रागारको भागको रूपमा प्रयोग भइरहेको धेरै खतराहरू पहिचान गर्न व्यवस्थित गरेका छन्।

CozyDuke , Cozer, CozyBear, CozyCar, र EuroAPT को रूपमा पनि चिनिन्छ, मुख्य रूपमा ब्याकडोरको रूपमा कार्य गर्दछ। यसको मुख्य उद्देश्य एक प्रविष्टि बिन्दु स्थापना गर्नु हो, जसलाई पछिल्ला संक्रमणहरू, विशेष गरी यसको आफ्नै मोड्युलहरूका लागि 'ब्याकडोर' भनिन्छ। यो प्राप्त गर्न, यसले दृढता सुनिश्चित गर्न डिजाइन गरिएको बहु मोड्युलहरूसँग संयोजनमा ड्रपरलाई रोजगार दिन्छ।

यसको कम्पोनेन्टहरू मध्ये ती हुन् जुन प्रणाली डेटा निकाल्ने, आधारभूत Cmd.exe आदेशहरू कार्यान्वयन गर्ने, स्क्रिनसटहरू क्याप्चर गर्ने, र लग-इन प्रमाणहरू चोर्नेमा समर्पित छन्। उल्लेखनीय रूपमा, CozyDuke सँग अन्य फाईलहरू घुसपैठ गर्ने र कार्यान्वयन गर्ने क्षमता पनि छ, जसले मालवेयर संक्रमणहरूको व्यापक स्पेक्ट्रमलाई सुविधा दिने सम्भाव्यतालाई संकेत गर्दछ।

OnionDuke ले आफूलाई सम्भावित कन्फिगरेसनहरूको विविध सेटको साथ मोड्युलर मालवेयरको रूपमा प्रस्तुत गर्दछ। लोडर र ड्रपर क्षमताहरूसँग सशस्त्र, यो कार्यक्रमले पासवर्डहरू र अन्य संवेदनशील डेटा कटाईमा केन्द्रित सहित जानकारी-चोरी मोड्युलहरूको एर्रे प्रस्तुत गर्दछ। थप रूपमा, यसले डिस्ट्रिब्युटेड डिनायल-अफ-सर्भिस (DDoS) आक्रमणहरू सुरु गर्न गियर गरिएको कम्पोनेन्ट फिचर गर्दछ। अर्को मोड्युल स्प्याम अभियानहरू प्रारम्भ गर्नको लागि सम्झौता सामाजिक सञ्जाल खाताहरू शोषण गर्न डिजाइन गरिएको छ, सम्भावित रूपमा संक्रमणको पहुँच विस्तार गर्न।

SeaDuke , SeaDaddy र SeaDask को रूपमा पनि चिनिन्छ, विन्डोज र लिनक्स दुवै प्रणालीहरूमा सञ्चालन गर्न डिजाइन गरिएको क्रस-प्लेटफर्म ब्याकडोरको रूपमा उभिएको छ। यसको सापेक्षिक सादगीको बावजुद, SeaDuke ले एक आधारभूत उपकरणसेटको रूपमा कार्य गर्दछ, मुख्यतया संक्रमण फैलाउनको लागि घुसपैठ गरिएका फाइलहरू कार्यान्वयन गर्न उन्मुख।

ह्यामरड्युक , वैकल्पिक रूपमा ह्यामरटोस र नेटड्यूकको रूपमा चिनिन्छ, एक सीधा पछाडिको ढोकाको रूपमा देखा पर्दछ। यसको स्पष्ट उपयोग विशेष रूपमा माध्यमिक ब्याकडोरको रूपमा नोट गरिएको छ जुन CozyDuke संक्रमण पछ्याउँछ।

CloudDuke ले CloudLook र MiniDionis को रूपमा पनि स्वीकार गर्यो, दुई ब्याकडोर संस्करणहरूमा प्रकट हुन्छ। यो मालवेयरले डाउनलोडर र लोडर कार्यक्षमताहरू समावेश गर्दछ, मुख्य रूपमा पूर्वनिर्धारित स्थानहरूबाट पेलोडहरू ल्याउन र स्थापना गर्न निर्देशित हुन्छ, चाहे इन्टरनेट वा Microsoft OneDrive खाताबाट।

यो रेखांकित गर्न महत्त्वपूर्ण छ कि ड्यूक्स एपीटी अभिनेताले नयाँ मालवेयर टूलसेटहरू प्रस्तुत गर्ने सम्भावना पर्याप्त रहन्छ जबसम्म तिनीहरूको कार्यहरू रोकिएन। तिनीहरूको गतिविधिहरूको प्रकृतिले तिनीहरूको रणनीति र प्रविधिहरूमा नवाचारको लागि दिगो सम्भावनाको सुझाव दिन्छ।