Złośliwe oprogramowanie Duke'a
Duke to nadrzędny termin określający zbiór zestawów narzędzi do złośliwego oprogramowania wdrożonych przez aktora APT29 APT (Advanced Persistent Threat). Aktor ten, znany pod wieloma pseudonimami, takimi jak The Dukes, Cloaked Ursa, CozyBear, Nobelium i UNC2452, działa w sferze cyberataków. APT29 jest powiązany ze Służbą Wywiadu Zagranicznego Federacji Rosyjskiej (SVR RF), co oznacza sponsorowane przez państwo pochodzenie z Rosji. Dążenia grupy są zakorzenione w motywacjach politycznych i geopolitycznych, koncentrując się na zbieraniu danych wywiadowczych i dziedzinie cyberszpiegostwa.
Pod parasolem rodziny złośliwego oprogramowania Duke znajduje się rozległa gama groźnego oprogramowania, obejmująca różne typy, takie jak backdoory systemowe, programy ładujące, wykradające informacje, zakłócające procesy i inne.
Ostatni przypadek kampanii ataków związanych z grupą The Dukes miał miejsce w 2023 roku. Kampania ta polegała na rozpowszechnianiu złośliwych dokumentów PDF, które udawały zaproszenia dyplomatyczne pochodzące z ambasady Niemiec. Warto zauważyć, że ta kampania e-mailowa była skierowana do ministerstw spraw zagranicznych krajów sprzymierzonych z NATO, podkreślając strategiczne cele grupy i potencjalne implikacje geopolityczne.
Cyberprzestępcy stworzyli wyspecjalizowane zagrożenia Duke Malware
Aktor APT, znany jako The Dukes, utrzymuje swoją obecność operacyjną od co najmniej 2008 roku, prezentując w ciągu tych lat szeroką gamę narzędzi. Poniżej przedstawiono chronologiczny przegląd niektórych z bardziej znanych zestawów narzędzi wykorzystywanych przez tego konkretnego aktora cyberprzestępczego.
PinchDuke : ten zestaw narzędzi zawiera zbiór programów ładujących zaprojektowanych w celu wprowadzenia dodatkowych elementów lub programów stanowiących zagrożenie do zaatakowanych systemów. Obejmuje narzędzie do przechwytywania plików przeznaczone do eksfiltracji oraz narzędzie do kradzieży danych uwierzytelniających. Ten ostatni atakuje różne źródła danych, w tym Microsoft Authenticator (passport.net), klientów poczty e-mail (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), przeglądarek (Internet Explorer, Mozilla Firefox, Netscape Navigator) i komunikatorów usługi (Google Talk), m.in.
GeminiDuke : Dzięki możliwościom ładowania i wielu mechanizmom zapewniającym trwałość, GeminiDuke oferuje również funkcje kradzieży danych, koncentrujące się głównie na zbieraniu danych konfiguracyjnych urządzeń. Informacje te obejmują konta użytkowników, zainstalowane sterowniki i oprogramowanie, uruchomione procesy, programy i usługi startowe, ustawienia sieciowe, określone foldery i pliki oraz ostatnio otwierane programy i pliki.
Kosmiczny Książę (znany również jako BotgenStudios, NemesisGemina i Tinybaron): składający się z kilku modułów ładujących, szeregu komponentów zapewniających trwałość oraz modułu do eskalacji uprawnień, CosmicDuke obraca się głównie wokół możliwości kradzieży informacji. Może eksfiltrować pliki z określonymi rozszerzeniami, eksportować certyfikaty kryptograficzne (w tym klucze prywatne), przechwytywać zrzuty ekranu, rejestrować naciśnięcia klawiszy (keylogging), pobierać dane logowania z przeglądarek, klientów pocztowych i komunikatorów, a także zbierać zawartość ze schowka (kopiować -wklej bufor).
MiniDuke : to złośliwe oprogramowanie występuje w różnych iteracjach, obejmujących moduł ładujący, program do pobierania i funkcje backdoora. MiniDuke jest używany głównie do przygotowania systemu na kolejne infekcje lub ułatwienia postępu takich infekcji.
Rodzina Duke Malware wciąż się powiększa
Naukowcom udało się zidentyfikować kilka innych zagrożeń należących do rodziny szkodliwego oprogramowania Duke i wykorzystywanych jako część złośliwego arsenału APT29.
CozyDuke , znany również jako Cozer, CozyBear, CozyCar i EuroAPT, działa przede wszystkim jako backdoor. Jego głównym celem jest ustanowienie punktu wejścia, często określanego jako „tylne wejście” dla kolejnych infekcji, w szczególności jego własnych modułów. Aby to osiągnąć, wykorzystuje zakraplacz w połączeniu z wieloma modułami zaprojektowanymi w celu zapewnienia trwałości.
Wśród jego komponentów są te przeznaczone do wydobywania danych systemowych, wykonywania podstawowych poleceń Cmd.exe, robienia zrzutów ekranu i kradzieży danych logowania. Co ciekawe, CozyDuke posiada również zdolność infiltracji i uruchamiania innych plików, co sugeruje potencjał ułatwiania szerokiego spektrum infekcji złośliwym oprogramowaniem.
OnionDuke przedstawia się jako modułowe złośliwe oprogramowanie z różnorodnym zestawem możliwych konfiguracji. Uzbrojony w funkcje ładowania i droppera, program ten wprowadza szereg modułów kradnących informacje, w tym te skupione na zbieraniu haseł i innych poufnych danych. Dodatkowo zawiera komponent nastawiony na przeprowadzanie ataków typu Distributed Denial-of-Service (DDoS). Inny moduł ma na celu wykorzystywanie zainfekowanych kont w sieciach społecznościowych do inicjowania kampanii spamowych, potencjalnie zwiększając zasięg infekcji.
SeaDuke , znany również jako SeaDaddy i SeaDask, wyróżnia się jako wieloplatformowy backdoor zaprojektowany do działania zarówno w systemach Windows, jak i Linux. Pomimo swojej względnej prostoty, SeaDuke służy jako podstawowy zestaw narzędzi, zorientowany przede wszystkim na wykonywanie infiltrowanych plików w celu rozprzestrzeniania infekcji.
HammerDuke , znany na przemian jako HAMMERTOSS i Netduke, wyłania się jako prosty backdoor. Jego zauważalne użycie zostało odnotowane wyłącznie jako drugorzędny backdoor po infekcji CozyDuke'a.
CloudDuke znany również jako CloudLook i MiniDionis, manifestuje się w dwóch wersjach backdoora. To złośliwe oprogramowanie obejmuje funkcje programów do pobierania i ładowania, ukierunkowane głównie na pobieranie i instalowanie ładunków z predefiniowanych lokalizacji, czy to z Internetu, czy konta Microsoft OneDrive.
Należy podkreślić, że perspektywa wprowadzenia przez aktora The Dukes APT nowych zestawów narzędzi szkodliwego oprogramowania jest nadal duża, chyba że ich działalność zostanie zatrzymana. Charakter ich działalności wskazuje na trwały potencjał innowacji w ich strategiach i technikach.
