Duke Malware

Duke je zastrešujúci pojem označujúci kolekciu malvérových nástrojov nasadených aktérom APT29 APT (Advanced Persistent Threat). Tento herec, známy pod mnohými prezývkami, ako sú The Dukes, Cloaked Ursa, CozyBear, Nobelium a UNC2452, pôsobí v oblasti kybernetických prienikov. APT29 je pridružený k Zahraničnej spravodajskej službe Ruskej federácie (SVR RF), čo znamená štátom podporovaný pôvod z Ruska. Snahy skupiny sú zakorenené v politických a geopolitických motiváciách so zameraním na zhromažďovanie spravodajských informácií a oblasť kybernetickej špionáže.

Pod zastrešením rodiny malvéru Duke sa skrýva rozsiahla škála hrozivého softvéru, ktorý zahŕňa rôzne typy, ako sú zadné vrátka systému, nakladače, krádeže informácií, narušovače procesov a ďalšie.

Posledný prípad útočnej kampane spojenej so skupinou The Dukes sa odohral v roku 2023. Táto kampaň zahŕňala šírenie škodlivých dokumentov PDF, ktoré sa maskovali ako diplomatické pozvánky pochádzajúce z nemeckého veľvyslanectva. Táto e-mailová kampaň sa zamerala najmä na ministerstvá zahraničných vecí krajín spojených s NATO, čím sa zdôraznilo strategické zameranie skupiny a potenciálne geopolitické dôsledky.

Kyberzločinci vytvorili špecializované hrozby Duke Malware

Herec APT známy ako The Dukes si udržiava svoju operačnú prítomnosť najmenej od roku 2008 a v priebehu týchto rokov vystavuje širokú škálu nástrojov. Nižšie je uvedený chronologický prehľad niektorých najvýznamnejších sád nástrojov používaných týmto konkrétnym aktérom hrozby.

PinchDuke : Táto súprava nástrojov obsahuje kolekciu zavádzačov navrhnutých na zavedenie ďalších ohrozujúcich prvkov alebo programov do napadnutých systémov. Zahŕňa zachytávač súborov určený na exfiltráciu a zlodeja poverení. Ten sa zameriava na rôzne zdroje údajov vrátane Microsoft Authenticator (passport.net), e-mailových klientov (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), prehliadačov (Internet Explorer, Mozilla Firefox, Netscape Navigator) a správ. služby (Google Talk), medzi inými.

GeminiDuke : Vďaka svojim schopnostiam načítavania a viacerým mechanizmom na zabezpečenie trvalosti sa GeminiDuke môže pochváliť aj funkciami kradnutia údajov, ktoré sa zameriavajú predovšetkým na zber údajov o konfigurácii zariadenia. Tieto informácie zahŕňajú používateľské účty, nainštalované ovládače a softvér, spustené procesy, spúšťacie programy a služby, sieťové nastavenia, konkrétne priečinky a súbory a programy a súbory, ku ktorým ste nedávno pristupovali.

CosmicDuke   (tiež uznávané ako BotgenStudios, NemesisGemina a Tinybaron): CosmicDuke obsahuje niekoľko zavádzačov, celý rad komponentov na zabezpečenie perzistencie a modul na eskaláciu privilégií, čo sa primárne točí okolo svojich schopností kradnúť informácie. Dokáže exfiltrovať súbory so špecifickými príponami, exportovať kryptografické certifikáty (vrátane súkromných kľúčov), zachytávať snímky obrazovky, zaznamenávať stlačenia klávesov (keylogging), získavať prihlasovacie údaje z prehliadačov, e-mailových klientov a messengerov, ako aj zhromažďovať obsah zo schránky (kopírovať - pastový pufor).

MiniDuke : Tento malvér prichádza v rôznych iteráciách, ktoré zahŕňajú funkcie načítavania, sťahovania a backdoor. MiniDuke sa primárne používa buď na prípravu systému na následné infekcie, alebo na uľahčenie progresie takýchto infekcií.

Rodina Duke Malware sa neustále rozširuje

Výskumníkom sa podarilo identifikovať niekoľko ďalších hrozieb patriacich do rodiny malvéru Duke a používaných ako súčasť škodlivého arzenálu APT29.

CozyDuke , známy aj ako Cozer, CozyBear, CozyCar a EuroAPT, funguje predovšetkým ako zadné vrátka. Jeho hlavným účelom je vytvoriť vstupný bod, často označovaný ako „zadné vrátka“ pre následné infekcie, najmä jeho vlastné moduly. Na dosiahnutie tohto cieľa využíva kvapkadlo v spojení s viacerými modulmi navrhnutými tak, aby zabezpečili vytrvalosť.

Medzi jeho komponenty patria tie, ktoré sú určené na extrakciu systémových údajov, vykonávanie základných príkazov Cmd.exe, zachytávanie snímok obrazovky a krádeže prihlasovacích údajov. Je pozoruhodné, že CozyDuke má tiež schopnosť infiltrovať a spúšťať iné súbory, čo znamená potenciál uľahčiť široké spektrum infekcií škodlivým softvérom.

OnionDuke sa prezentuje ako modulárny malvér s rôznorodou sadou možných konfigurácií. Tento program, vybavený funkciami nakladača a kvapkadla, predstavuje rad modulov na kradnutie informácií vrátane modulov zameraných na získavanie hesiel a iných citlivých údajov. Okrem toho obsahuje komponent zameraný na spustenie útokov Distributed Denial-of-Service (DDoS). Ďalší modul je navrhnutý tak, aby využíval napadnuté účty sociálnych sietí na iniciovanie spamových kampaní, čo môže potenciálne zvýšiť dosah infekcie.

SeaDuke , tiež označovaný ako SeaDaddy a SeaDask, vyniká ako multiplatformové zadné vrátka navrhnuté tak, aby fungovali na systémoch Windows aj Linux. Napriek svojej relatívnej jednoduchosti slúži SeaDuke ako základná sada nástrojov, primárne orientovaná na spustenie infiltrovaných súborov na šírenie infekcie.

HammerDuke , známy striedavo ako HAMMERTOSS a Netduke, sa ukazuje ako priame zadné vrátka. Jeho zjavné použitie bolo výlučne zaznamenané ako sekundárne zadné vrátka, ktoré nasleduje po infekcii CozyDuke.

CloudDuke tiež uznávaný ako CloudLook a MiniDionis, ktorý sa prejavuje v dvoch verziách backdoor. Tento malvér zahŕňa funkcie sťahovania a načítavania, ktoré sú primárne zamerané na načítanie a inštaláciu dát z preddefinovaných umiestnení, či už z internetu alebo z účtu Microsoft OneDrive.

Je dôležité zdôrazniť, že vyhliadky herca The Dukes APT na zavedenie nových malvérových nástrojov zostávajú značné, pokiaľ sa ich operácie nezastavia. Povaha ich činností naznačuje trvalý potenciál pre inovácie v ich stratégiách a technikách.