Вредоносное ПО Duke

Duke — это всеобъемлющий термин, обозначающий набор наборов вредоносных программ, развернутых субъектом APT29 APT (Advanced Persistent Threat). Этот актер, известный под несколькими псевдонимами, такими как The Dukes, Cloaked Ursa, CozyBear, Nobelium и UNC2452, работает в сфере кибер-вторжений. APT29 связан со Службой внешней разведки Российской Федерации (СВР РФ), что указывает на спонсируемое государством происхождение из России. Занятия группы коренятся в политических и геополитических мотивах, сосредоточенных на сборе разведывательной информации и сфере кибершпионажа.

Под эгидой семейства вредоносных программ Duke находится обширный набор угрожающего программного обеспечения, охватывающего различные типы, такие как системные бэкдоры, загрузчики, программы для кражи информации, нарушители процессов и многое другое.

Самый последний случай атаки, связанной с группой The Dukes, произошел в 2023 году. Эта кампания включала распространение вредоносных PDF-документов, которые маскировались под дипломатические приглашения, исходящие от посольства Германии. Примечательно, что эта кампания по электронной почте была нацелена на министерства иностранных дел стран, связанных с НАТО, что подчеркивало стратегическую направленность группы и потенциальные геополитические последствия.

Киберпреступники создали специализированные вредоносные программы Duke

Актер APT, известный как The Dukes, поддерживает свое оперативное присутствие по крайней мере с 2008 года, демонстрируя широкий спектр инструментов в течение этих лет. Ниже представлен хронологический обзор некоторых из наиболее известных наборов инструментов, используемых этим конкретным злоумышленником.

PinchDuke : этот набор инструментов содержит набор загрузчиков, предназначенных для внедрения дополнительных угрожающих элементов или программ в скомпрометированные системы. Он включает в себя захват файлов, предназначенный для эксфильтрации, и похититель учетных данных. Последний нацелен на различные источники данных, включая Microsoft Authenticator (passport.net), почтовые клиенты (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), браузеры (Internet Explorer, Mozilla Firefox, Netscape Navigator) и мессенджеры. сервисы (Google Talk) и другие.

GeminiDuke : благодаря своим возможностям загрузчика и множеству механизмов для обеспечения постоянства GeminiDuke также может похвастаться функциями похитителя данных, в основном сосредоточенного на сборе данных о конфигурации устройства. Эта информация включает в себя учетные записи пользователей, установленные драйверы и программное обеспечение, запущенные процессы, запускаемые программы и службы, сетевые настройки, определенные папки и файлы, а также недавно использованные программы и файлы.

Космический Герцог   (также известный как BotgenStudios, NemesisGemina и Tinybaron): CosmicDuke, состоящий из нескольких загрузчиков, ряда компонентов для обеспечения постоянства и модуля для повышения привилегий, в первую очередь вращается вокруг своих возможностей по краже информации. Он может извлекать файлы с определенными расширениями, экспортировать криптографические сертификаты (включая закрытые ключи), делать снимки экрана, записывать нажатия клавиш (кейлоггинг), извлекать учетные данные для входа в браузеры, почтовые клиенты и мессенджеры, а также собирать содержимое из буфера обмена (копировать -вставить буфер).

MiniDuke : это вредоносное ПО представлено в различных версиях, включая функции загрузчика, загрузчика и бэкдора. MiniDuke в основном используется либо для подготовки системы к последующим инфекциям, либо для облегчения развития таких инфекций.

Семейство вредоносных программ Duke продолжает расширяться

Исследователям удалось выявить еще несколько угроз, принадлежащих к семейству вредоносных программ Duke и используемых в составе вредоносного арсенала APT29.

CozyDuke , также известный как Cozer, CozyBear, CozyCar и EuroAPT, функционирует в основном как бэкдор. Его основная цель — создать точку входа, часто называемую «черным ходом», для последующего заражения, в частности, его собственных модулей. Для этого он использует дроппер в сочетании с несколькими модулями, предназначенными для обеспечения постоянства.

Среди его компонентов есть компоненты, предназначенные для извлечения системных данных, выполнения основных команд Cmd.exe, захвата снимков экрана и кражи учетных данных для входа в систему. Примечательно, что CozyDuke также обладает способностью проникать в другие файлы и запускать их, что подразумевает потенциальную возможность заражения широким спектром вредоносных программ.

OnionDuke представляет собой модульное вредоносное ПО с разнообразным набором возможных конфигураций. Вооруженная возможностями загрузчика и дроппера, эта программа представляет собой набор модулей для кражи информации, в том числе ориентированных на сбор паролей и других конфиденциальных данных. Кроме того, в нем есть компонент, предназначенный для запуска распределенных атак типа «отказ в обслуживании» (DDoS). Еще один модуль предназначен для использования скомпрометированных учетных записей социальных сетей для инициирования спам-кампаний, что потенциально увеличивает распространение инфекции.

SeaDuke , также известный как SeaDaddy и SeaDask, выделяется как кроссплатформенный бэкдор, предназначенный для работы как в системах Windows, так и в Linux. Несмотря на свою относительную простоту, SeaDuke служит основным набором инструментов, в первую очередь ориентированным на выполнение зараженных файлов для распространения инфекции.

HammerDuke , также известный как HAMMERTOSS и Netduke, представляет собой простой бэкдор. Его заметное использование было отмечено исключительно как вторичный бэкдор, который следует за заражением CozyDuke.

CloudDuke, также известный как CloudLook и MiniDionis, представлен в двух версиях бэкдора. Это вредоносное ПО включает в себя функции загрузчика и загрузчика, в первую очередь направленные на получение и установку полезных нагрузок из предопределенных мест, будь то из Интернета или учетной записи Microsoft OneDrive.

Крайне важно подчеркнуть, что вероятность того, что участник APT-атаки The Dukes представит новые наборы вредоносных программ, остается значительной, если их деятельность не будет остановлена. Характер их деятельности предполагает устойчивый потенциал инноваций в их стратегиях и методах.