Duke Malware

Duke je splošni izraz, ki označuje zbirko naborov orodij zlonamerne programske opreme, ki jih uporablja akter APT29 APT (Advanced Persistent Threat). Ta igralec, prepoznaven po številnih vzdevkih, kot so The Dukes, Cloaked Ursa, CozyBear, Nobelium in UNC2452, deluje na področju kibernetskih vdorov. APT29 je povezan z zunanjo obveščevalno službo Ruske federacije (SVR RF), kar pomeni, da izvira iz Rusije, ki ga sponzorira država. Prizadevanja skupine temeljijo na političnih in geopolitičnih motivih, osredotočajo se na zbiranje obveščevalnih podatkov in področje kibernetskega vohunjenja.

Pod okriljem družine zlonamerne programske opreme Duke se skriva obsežen nabor nevarne programske opreme, ki zajema različne vrste, kot so stranska vrata sistema, nalagalniki, kraje informacij, motilci procesov in drugo.

Najnovejši primer napadalne kampanje, povezane s skupino The Dukes, se je zgodil leta 2023. Ta kampanja je vključevala razširjanje zlonamernih dokumentov PDF, ki so se zakamuflirali kot diplomatska vabila, ki izvirajo iz nemškega veleposlaništva. Predvsem je bila ta e-poštna kampanja usmerjena na ministrstva za zunanje zadeve držav, povezanih z Natom, s čimer je poudarila strateško ciljanje skupine in morebitne geopolitične posledice.

Kibernetski kriminalci so ustvarili specializirane grožnje zlonamerne programske opreme Duke

Igralec APT, znan kot The Dukes, je svojo operativno prisotnost ohranil vsaj od leta 2008 in v teh letih razstavljal obsežen nabor orodij. Spodaj je predstavljen kronološki pregled nekaterih vidnejših naborov orodij, ki jih uporablja ta določen akter grožnje.

PinchDuke : Ta komplet orodij vsebuje zbirko nalagalnikov, ki so zasnovani za vnašanje dodatnih nevarnih elementov ali programov v ogrožene sisteme. Vključuje grabilnik datotek, namenjen iztiskanju, in krajo poverilnic. Slednji cilja na različne vire podatkov, vključno z Microsoft Authenticator (passport.net), e-poštnimi odjemalci (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), brskalniki (Internet Explorer, Mozilla Firefox, Netscape Navigator) in sporočili. storitev (Google Talk), med drugim.

GeminiDuke : s svojimi zmogljivostmi nalaganja in številnimi mehanizmi za zagotavljanje obstojnosti se GeminiDuke ponaša tudi s funkcijami kraje podatkov, ki je pretežno osredotočena na zbiranje podatkov o konfiguraciji naprave. Te informacije vključujejo uporabniške račune, nameščene gonilnike in programsko opremo, tekoče procese, zagonske programe in storitve, omrežne nastavitve, določene mape in datoteke ter nedavno dostopane programe in datoteke.

CosmicDuke   (priznan tudi kot BotgenStudios, NemesisGemina in Tinybaron): CosmicDuke, ki vključuje več nalagalnikov, vrsto komponent za zagotavljanje obstojnosti in modul za stopnjevanje privilegijev, se vrti predvsem okoli svojih zmožnosti kraje informacij. Lahko eksfiltrira datoteke s posebnimi končnicami, izvozi kriptografska potrdila (vključno z zasebnimi ključi), zajame posnetke zaslona, snema pritiske tipk (keylogging), pridobi poverilnice za prijavo iz brskalnikov, e-poštnih odjemalcev in sporočil ter zbira vsebino iz odložišča (kopiraj -paste buffer).

MiniDuke : Ta zlonamerna programska oprema je na voljo v različnih iteracijah, ki vključujejo nalagalnik, prenosnik in funkcionalnosti backdoor. MiniDuke se uporablja predvsem za pripravo sistema za nadaljnje okužbe ali olajšanje napredovanja takih okužb.

Družina zlonamerne programske opreme Duke se še naprej širi

Raziskovalcem je uspelo identificirati še več groženj, ki pripadajo družini zlonamerne programske opreme Duke in se uporabljajo kot del zlonamernega arzenala APT29.

CozyDuke , znan tudi kot Cozer, CozyBear, CozyCar in EuroAPT, deluje predvsem kot zadnja vrata. Njegov glavni namen je vzpostaviti vstopno točko, ki se pogosto imenuje "backdoor", za nadaljnje okužbe, zlasti lastne module. Da bi to dosegel, uporablja kapalko v povezavi z več moduli, zasnovanimi za zagotavljanje obstojnosti.

Med njegovimi komponentami so tiste, namenjene pridobivanju sistemskih podatkov, izvajanju temeljnih ukazov Cmd.exe, zajemanju posnetkov zaslona in kraji poverilnic za prijavo. Zanimivo je, da ima CozyDuke tudi zmožnost infiltracije in izvajanja drugih datotek, kar nakazuje možnost omogočanja širokega spektra okužb z zlonamerno programsko opremo.

OnionDuke se predstavlja kot modularna zlonamerna programska oprema z raznolikim naborom možnih konfiguracij. Ta program, oborožen z zmogljivostmi nalaganja in spuščanja, uvaja vrsto modulov za krajo informacij, vključno s tistimi, ki so osredotočeni na zbiranje gesel in drugih občutljivih podatkov. Poleg tega vsebuje komponento, ki je usmerjena v napade porazdeljene zavrnitve storitve (DDoS). Drugi modul je zasnovan za izkoriščanje ogroženih računov v družabnih omrežjih za sprožitev neželene e-pošte, s čimer se potencialno poveča doseg okužbe.

SeaDuke , imenovan tudi SeaDaddy in SeaDask, izstopa kot stranska vrata za več platform, zasnovana za delovanje v sistemih Windows in Linux. Kljub sorazmerni preprostosti SeaDuke služi kot temeljni nabor orodij, ki je v prvi vrsti usmerjen v izvajanje infiltriranih datotek za širjenje okužbe.

HammerDuke , znan izmenično kot HAMMERTOSS in Netduke, se pojavi kot enostavna stranska vrata. Njegova vidna uporaba je bila izključno opažena kot sekundarna stranska vrata, ki sledi okužbi s CozyDuke.

CloudDuke, znan tudi kot CloudLook in MiniDionis, se pojavlja v dveh različicah za zakulisje. Ta zlonamerna programska oprema vključuje funkcije prenosa in nalaganja, ki so v prvi vrsti usmerjeni v pridobivanje in nameščanje uporabnih vsebin z vnaprej določenih lokacij, bodisi iz interneta ali računa Microsoft OneDrive.

Ključnega pomena je poudariti, da je možnost, da igralec The Dukes APT uvede nove nabore orodij za zlonamerno programsko opremo, še vedno precejšnja, razen če se njihovo delovanje ustavi. Narava njihovih dejavnosti kaže na trajen potencial za inovacije v njihovih strategijah in tehnikah.