Duke Malware
Duke é um termo abrangente que denota uma coleção de conjuntos de ferramentas de malware implantados pelo agente APT29 - APT (Ameaça Persistente Avançada). Esse autor, reconhecido por vários pseudônimos, como The Dukes, Cloaked Ursa, CozyBear, Nobelium e UNC2452, opera no domínio das invasões cibernéticas. O APT29 é afiliado ao Serviço de Inteligência Estrangeira da Federação Russa (SVR RF), significando uma origem patrocinada pelo estado da Rússia. As atividades do grupo estão enraizadas em motivações políticas e geopolíticas, com foco na coleta de informações e no domínio da espionagem cibernética.
Sob a égide da família de malware Duke, encontra-se uma ampla variedade de softwares ameaçadores, abrangendo vários tipos, como backdoors do sistema, loaders, infostealers, disruptores de processo e muito mais.
A instância mais recente de uma campanha de ataque associada ao grupo The Dukes ocorreu em 2023. Essa campanha envolveu a disseminação de documentos PDF maliciosos que se camuflaram como convites diplomáticos provenientes da embaixada alemã. Notavelmente, esta campanha de e-mail visava os ministérios de Relações Exteriores de nações alinhadas com a OTAN, ressaltando o direcionamento estratégico do grupo e as possíveis implicações geopolíticas.
Os Cibercriminosos Criaram Ameaças Especializadas do Malware Duke
O autor APT conhecido como The Dukes manteve sua presença operacional desde pelo menos 2008, exibindo uma extensa gama de ferramentas ao longo desses anos. Apresentamos a seguir uma visão cronológica de alguns dos conjuntos de ferramentas mais proeminentes empregados por esse agente de ameaça em particular.
PinchDuke : Este kit de ferramentas apresenta uma coleção de carregadores projetados para introduzir elementos ou programas ameaçadores adicionais em sistemas comprometidos. Ele abrange um capturador de arquivos destinado à exfiltração e um ladrão de credenciais. O último visa várias fontes de dados, incluindo Microsoft Authenticator (passport.net), clientes de e-mail (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), navegadores (Internet Explorer, Mozilla Firefox, Netscape Navigator) e mensagens serviços (Google Talk), entre outros.
GeminiDuke : Com seus recursos de carregador e vários mecanismos para garantir a persistência, o GeminiDuke também possui funcionalidades como um ladrão de dados, predominantemente focado na coleta de dados de configuração do dispositivo. Essas informações incluem contas de usuário, drivers e softwares instalados, processos em execução, programas e serviços de inicialização, configurações de rede, pastas e arquivos específicos e programas e arquivos acessados recentemente.
Cosmic Duke (também reconhecido como BotgenStudios, NemesisGemina e Tinybaron): Compreendendo vários carregadores, uma variedade de componentes para garantir a persistência e um módulo para escalonamento de privilégios, o CosmicDuke gira principalmente em torno de seus recursos de roubo de informações. Ele pode exfiltrar arquivos com extensões específicas, exportar certificados criptográficos (incluindo chaves privadas), capturar capturas de tela, registrar teclas digitadas (keylogging), recuperar credenciais de login de navegadores, clientes de e-mail e mensageiros, bem como coletar conteúdo da área de transferência (copiar -colar buffer).
MiniDuke : este malware vem em várias iterações, abrangendo um carregador, downloader e funcionalidades de backdoor. O MiniDuke é empregado principalmente para preparar um sistema para infecções subsequentes ou facilitar a progressão de tais infecções.
A Família do Duke Malware Continua a Se Expandir
Os pesquisadores conseguiram identificar várias outras ameaças pertencentes à família de malware Duke e sendo usadas como parte do arsenal malicioso do APT29.
CozyDuke , também conhecido como Cozer, CozyBear, CozyCar e EuroAPT, funciona principalmente como um backdoor. Seu objetivo principal é estabelecer um ponto de entrada, geralmente chamado de 'porta dos fundos', para infecções subsequentes, principalmente seus próprios módulos. Para conseguir isso, ele emprega um conta-gotas em conjunto com vários módulos projetados para garantir a persistência.
Entre seus componentes estão aqueles dedicados a extrair dados do sistema, executar comandos fundamentais do Cmd.exe, capturar capturas de tela e furtar credenciais de login. Notavelmente, o CozyDuke também possui a capacidade de se infiltrar e executar outros arquivos, o que implica o potencial para facilitar um amplo espectro de infecções por malware.
O OnionDuke apresenta-se como um malware modular com um conjunto diversificado de configurações possíveis. Armado com recursos de carregador e conta-gotas, este programa apresenta uma variedade de módulos de roubo de informações, incluindo aqueles focados na coleta de senhas e outros dados confidenciais. Além disso, possui um componente voltado para o lançamento de ataques Distributed Denial-of-Service (DDoS). Outro módulo é desenvolvido para explorar contas de redes sociais comprometidas para iniciar campanhas de spam, potencialmente ampliando o alcance da infecção.
SeaDuke , também conhecido como SeaDaddy e SeaDask, destaca-se como um backdoor de plataforma cruzada projetado para operar em sistemas Windows e Linux. Apesar de sua relativa simplicidade, o SeaDuke serve como um conjunto de ferramentas fundamental, orientado principalmente para a execução de arquivos infiltrados para propagar a infecção.
HammerDuke , conhecido alternadamente como HAMMERTOSS e Netduke, surge como um backdoor direto. Seu uso discernível foi observado exclusivamente como um backdoor secundário que segue uma infecção CozyDuke.
CloudDuke também conhecido como CloudLook e MiniDionis, se manifesta em duas versões backdoor. Esse malware abrange as funcionalidades de downloader e loader, principalmente direcionadas à busca e instalação de cargas de locais predefinidos, seja da Internet ou de uma conta do Microsoft OneDrive.
É crucial sublinhar que a perspectiva do autor The Dukes APT introduzir novos conjuntos de ferramentas de malware permanece considerável, a menos que suas operações sejam interrompidas. A natureza de suas atividades sugere um potencial sustentado de inovação em suas estratégias e técnicas.
