Duke Malware
Duke este termenul general care desemnează o colecție de seturi de instrumente malware implementate de actorul APT29 APT (Advanced Persistent Threat). Acest actor, recunoscut de mai multe pseudonime, cum ar fi The Dukes, Cloaked Ursa, CozyBear, Nobelium și UNC2452, operează în domeniul intruziunilor cibernetice. APT29 este afiliat Serviciului de Informații Externe al Federației Ruse (SVR RF), ceea ce înseamnă o origine din Rusia, susținută de stat. Activitățile grupului sunt înrădăcinate în motivații politice și geopolitice, concentrându-se pe colectarea de informații și pe domeniul spionajului cibernetic.
Sub umbrela familiei de malware Duke se află o gamă extinsă de software amenințător, cuprinzând diferite tipuri, cum ar fi ușile din spate ale sistemului, încărcătoarele, furturile de informații, perturbatorii de proces și multe altele.
Cel mai recent exemplu de campanie de atac asociat grupului The Dukes a avut loc în 2023. Această campanie a implicat diseminarea de documente PDF rău intenționate care s-au camuflat ca invitații diplomatice provenite de la ambasada Germaniei. În special, această campanie prin e-mail a vizat ministerele de Externe ale națiunilor aliniate la NATO, subliniind țintirea strategică a grupului și potențialele implicații geopolitice.
Criminalii cibernetici au creat amenințări specializate de malware Duke
Actorul APT cunoscut sub numele de The Dukes și-a menținut prezența operațională din cel puțin 2008, expunând o gamă largă de instrumente de-a lungul acestor ani. Mai jos este prezentată o prezentare cronologică a unora dintre cele mai importante seturi de instrumente folosite de acest actor special de amenințare.
PinchDuke : Acest set de instrumente conține o colecție de încărcătoare concepute pentru a introduce elemente sau programe suplimentare amenințătoare în sistemele compromise. Acesta cuprinde un dispozitiv de captare a fișierelor destinat exfiltrației și un furt de acreditări. Acesta din urmă vizează diverse surse de date, inclusiv Microsoft Authenticator (passport.net), clienți de e-mail (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), browsere (Internet Explorer, Mozilla Firefox, Netscape Navigator) și mesagerie. servicii (Google Talk), printre altele.
GeminiDuke : Cu capacitățile sale de încărcare și mecanismele multiple pentru a asigura persistența, GeminiDuke se mândrește și cu funcționalități de furt de date, concentrat în principal pe colectarea datelor de configurare a dispozitivului. Aceste informații includ conturi de utilizator, drivere și software instalate, procese care rulează, programe și servicii de pornire, setări de rețea, foldere și fișiere specifice și programe și fișiere accesate recent.
CosmicDuke (recunoscut și ca BotgenStudios, NemesisGemina și Tinybaron): Cuprinzând mai multe încărcătoare, o gamă de componente pentru a asigura persistența și un modul pentru escaladarea privilegiilor, CosmicDuke se învârte în principal în jurul capacităților sale de furt de informații. Poate să exfiltreze fișiere cu extensii specifice, să exporte certificate criptografice (inclusiv chei private), să capteze capturi de ecran, să înregistreze apăsările de la taste (registrare de taste), să recupereze acreditările de conectare din browsere, clienți de e-mail și mesageri, precum și să colecteze conținut din clipboard (copie -paste tampon).
MiniDuke : Acest malware vine în diferite iterații, cuprinzând un încărcător, un descărcator și funcționalități backdoor. MiniDuke este folosit în principal fie pentru a pregăti un sistem pentru infecțiile ulterioare, fie pentru a facilita progresia unor astfel de infecții.
Familia de programe malware Duke continuă să se extindă
Cercetătorii au reușit să identifice mai multe amenințări care aparțin familiei de malware Duke și sunt folosite ca parte a arsenalul rău intenționat al APT29.
CozyDuke , recunoscut și ca Cozer, CozyBear, CozyCar și EuroAPT, funcționează în primul rând ca o ușă din spate. Scopul său principal este de a stabili un punct de intrare, adesea denumit „ușă din spate”, pentru infecțiile ulterioare, în special modulele proprii. Pentru a realiza acest lucru, folosește un dropper împreună cu mai multe module concepute pentru a asigura persistența.
Printre componentele sale se numără cele dedicate extragerii datelor de sistem, executării comenzilor fundamentale Cmd.exe, captării de capturi de ecran și furtului acreditărilor de conectare. În mod remarcabil, CozyDuke are și capacitatea de a se infiltra și de a executa alte fișiere, ceea ce implică potențialul de a facilita un spectru larg de infecții malware.
OnionDuke se prezintă ca malware modular cu un set divers de configurații posibile. Înarmat cu capabilități de încărcare și dropper, acest program introduce o serie de module de furt de informații, inclusiv cele axate pe colectarea parolelor și a altor date sensibile. În plus, are o componentă orientată spre lansarea atacurilor Distributed Denial-of-Service (DDoS). Un alt modul este conceput pentru a exploata conturile de rețele sociale compromise pentru a iniția campanii de spam, potențial amplificarea acoperirii infecției.
SeaDuke , denumit și SeaDaddy și SeaDask, se evidențiază ca o ușă din spate multi-platformă concepută pentru a funcționa atât pe sistemele Windows, cât și pe Linux. În ciuda simplității sale relative, SeaDuke servește ca un set de instrumente fundamental, orientat în primul rând spre executarea fișierelor infiltrate pentru a propaga infecția.
HammerDuke , cunoscut alternativ ca HAMMERTOSS și Netduke, apare ca o ușă din spate simplă. Utilizarea sa vizibilă a fost remarcată exclusiv ca o ușă din spate secundară care urmează unei infecții CozyDuke.
CloudDuke, recunoscut și ca CloudLook și MiniDionis, se manifestă în două versiuni backdoor. Acest malware cuprinde funcționalități de descărcare și încărcare, în primul rând direcționate către preluarea și instalarea de încărcări utile din locații predefinite, fie de pe internet, fie de pe un cont Microsoft OneDrive.
Este esențial să subliniem că perspectiva ca actorul The Dukes APT să introducă noi seturi de instrumente malware rămâne considerabilă dacă operațiunile lor nu se opresc. Natura activităților lor sugerează un potențial susținut de inovare în strategiile și tehnicile lor.
