Duke-malware
Duke is de overkoepelende term voor een verzameling malware-toolsets die worden ingezet door de APT29 APT-actor (Advanced Persistent Threat). Deze acteur, herkend door meerdere aliassen zoals The Dukes, Cloaked Ursa, CozyBear, Nobelium en UNC2452, opereert op het gebied van cyberinbraken. APT29 is aangesloten bij de buitenlandse inlichtingendienst van de Russische Federatie (SVR RF), wat duidt op een door de staat gesponsorde oorsprong uit Rusland. De achtervolgingen van de groep zijn geworteld in politieke en geopolitieke motieven, gericht op het verzamelen van inlichtingen en het domein van cyberspionage.
Onder de paraplu van de Duke-malwarefamilie ligt een uitgebreide reeks bedreigende software, waaronder verschillende typen zoals systeemachterdeurtjes, laders, infostealers, procesverstoorders en meer.
Het meest recente voorbeeld van een aanvalscampagne in verband met de groep The Dukes vond plaats in 2023. Deze campagne omvatte de verspreiding van kwaadaardige pdf-documenten die zich camoufleerden als diplomatieke uitnodigingen afkomstig van de Duitse ambassade. Deze e-mailcampagne was met name gericht op de ministeries van Buitenlandse Zaken van landen die aangesloten zijn bij de NAVO, wat de strategische doelwitten en potentiële geopolitieke implicaties van de groep onderstreepte.
De cybercriminelen creëerden gespecialiseerde Duke-malwarebedreigingen
De APT-acteur die bekend staat als The Dukes heeft zijn operationele aanwezigheid behouden sinds ten minste 2008 en heeft in de loop van deze jaren een uitgebreid scala aan tools tentoongesteld. Hieronder vindt u een chronologisch overzicht van enkele van de meer prominente toolsets die door deze specifieke bedreigingsactor worden gebruikt.
PinchDuke : Deze toolkit bevat een verzameling laders die zijn ontworpen om extra bedreigende elementen of programma's in gecompromitteerde systemen te introduceren. Het omvat een bestandsgrabber bedoeld voor exfiltratie en een credential stealer. De laatste richt zich op verschillende gegevensbronnen, waaronder Microsoft Authenticator (passport.net), e-mailclients (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), browsers (Internet Explorer, Mozilla Firefox, Netscape Navigator) en messaging diensten (onder andere Google Talk).
GeminiDuke : Met zijn loader-mogelijkheden en meerdere mechanismen om persistentie te garanderen, beschikt GeminiDuke ook over functionaliteiten als data-stealer, voornamelijk gericht op het verzamelen van apparaatconfiguratiegegevens. Deze informatie omvat gebruikersaccounts, geïnstalleerde stuurprogramma's en software, actieve processen, opstartprogramma's en -services, netwerkinstellingen, specifieke mappen en bestanden, en onlangs geopende programma's en bestanden.
CosmicDuke (ook erkend als BotgenStudios, NemesisGemina en Tinybaron): Bestaande uit verschillende laders, een reeks componenten om persistentie te garanderen en een module voor privilege-escalatie, draait CosmicDuke voornamelijk om zijn mogelijkheden om informatie te stelen. Het kan bestanden exfiltreren met specifieke extensies, cryptografische certificaten exporteren (inclusief privésleutels), schermafbeeldingen maken, toetsaanslagen opnemen (keylogging), inloggegevens ophalen van browsers, e-mailclients en boodschappers, en inhoud verzamelen van het klembord (kopiëren -plakken buffer).
MiniDuke : deze malware is er in verschillende iteraties en omvat een loader-, downloader- en backdoor-functionaliteit. MiniDuke wordt voornamelijk gebruikt om een systeem voor te bereiden op volgende infecties of om de progressie van dergelijke infecties te vergemakkelijken.
De Duke Malware-familie blijft zich uitbreiden
Onderzoekers zijn erin geslaagd om nog meer bedreigingen te identificeren die behoren tot de Duke-malwarefamilie en worden gebruikt als onderdeel van het kwaadaardige arsenaal van APT29.
CozyDuke , ook bekend als Cozer, CozyBear, CozyCar en EuroAPT, functioneert voornamelijk als achterdeur. Het belangrijkste doel is om een toegangspunt tot stand te brengen, vaak een 'achterdeur' genoemd, voor latere infecties, met name voor de eigen modules. Om dit te bereiken, maakt het gebruik van een druppelaar in combinatie met meerdere modules die zijn ontworpen om persistentie te garanderen.
Onder de componenten bevinden zich componenten die zijn bedoeld voor het extraheren van systeemgegevens, het uitvoeren van fundamentele Cmd.exe-opdrachten, het maken van schermafbeeldingen en het stelen van inloggegevens. Opmerkelijk genoeg beschikt CozyDuke ook over de mogelijkheid om andere bestanden te infiltreren en uit te voeren, wat het potentieel impliceert om een breed spectrum aan malware-infecties mogelijk te maken.
OnionDuke presenteert zichzelf als modulaire malware met een diverse reeks mogelijke configuraties. Gewapend met loader- en dropper-mogelijkheden, introduceert dit programma een reeks modules voor het stelen van informatie, waaronder modules die gericht zijn op het verzamelen van wachtwoorden en andere gevoelige gegevens. Bovendien bevat het een component die is gericht op het lanceren van Distributed Denial-of-Service (DDoS)-aanvallen. Een andere module is ontworpen om misbruik te maken van gecompromitteerde sociale netwerkaccounts voor het starten van spamcampagnes, waardoor het bereik van de infectie mogelijk wordt vergroot.
SeaDuke , ook wel SeaDaddy en SeaDask genoemd, valt op als een platformonafhankelijke achterdeur die is ontworpen om op zowel Windows- als Linux-systemen te werken. Ondanks zijn relatieve eenvoud dient SeaDuke als een fundamentele toolset, voornamelijk gericht op het uitvoeren van geïnfiltreerde bestanden om de infectie te verspreiden.
HammerDuke , afwisselend bekend als HAMMERTOSS en Netduke, komt naar voren als een eenvoudige achterdeur. Het waarneembare gebruik ervan is exclusief genoteerd als een secundaire achterdeur die volgt op een CozyDuke-infectie.
CloudDuke, ook bekend als CloudLook en MiniDionis, manifesteert zich in twee backdoor-versies. Deze malware omvat downloader- en laderfunctionaliteiten, voornamelijk gericht op het ophalen en installeren van payloads van vooraf gedefinieerde locaties, of het nu gaat om internet of een Microsoft OneDrive-account.
Het is cruciaal om te onderstrepen dat het vooruitzicht dat de APT-acteur van The Dukes nieuwe malware-toolsets introduceert, aanzienlijk blijft, tenzij hun activiteiten tot stilstand komen. De aard van hun activiteiten wijst op een duurzaam potentieel voor innovatie in hun strategieën en technieken.
