Duke Malware

Duke është termi gjithëpërfshirës që tregon një koleksion mjetesh malware të vendosura nga aktori i APT29 APT (Kërcënimi i Përparuar i Përparuar). Ky aktor, i njohur nga pseudonime të shumta si The Dukes, Cloaked Ursa, CozyBear, Nobelium dhe UNC2452, vepron brenda sferës së ndërhyrjeve kibernetike. APT29 është i lidhur me Shërbimin e Inteligjencës së Jashtme të Federatës Ruse (SVR RF), që nënkupton një origjinë të sponsorizuar nga shteti nga Rusia. Ndjekjet e grupit i kanë rrënjët në motive politike dhe gjeopolitike, duke u fokusuar në mbledhjen e inteligjencës dhe fushën e spiunazhit kibernetik.

Nën ombrellën e familjes së malware-ve Duke shtrihet një grup i gjerë softuerësh kërcënues, që përfshin lloje të ndryshme si dyert e pasme të sistemit, ngarkuesit, vjedhësit e informacionit, ndërprerësit e procesit dhe më shumë.

Rasti më i fundit i një fushate sulmi të lidhur me grupin The Dukes ndodhi në vitin 2023. Kjo fushatë përfshinte shpërndarjen e dokumenteve PDF me qëllim të keq që maskoheshin si ftesa diplomatike me origjinë nga ambasada gjermane. Veçanërisht, kjo fushatë e-mail synonte ministritë e Punëve të Jashtme të vendeve të lidhura me NATO-n, duke nënvizuar shënjestrimin strategjik të grupit dhe implikimet e mundshme gjeopolitike.

Kriminelët kibernetikë krijuan kërcënime të specializuara të malware të Duke

Aktori i APT i njohur si The Dukes ka ruajtur praninë e tij operacionale që të paktën që nga viti 2008, duke ekspozuar një gamë të gjerë mjetesh gjatë këtyre viteve. E paraqitur më poshtë është një përmbledhje kronologjike e disa prej grupeve më të spikatura të mjeteve të përdorura nga ky aktor i veçantë i kërcënimit.

PinchDuke : Kjo paketë veglash përmban një koleksion ngarkues të krijuar për të futur elementë ose programe kërcënuese shtesë në sistemet e komprometuara. Ai përfshin një rrëmbyes skedari të destinuar për ekfiltrim dhe një vjedhës kredencialesh. Ky i fundit synon burime të ndryshme të të dhënave, duke përfshirë Microsoft Authenticator (passport.net), klientët e postës elektronike (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), shfletuesit (Internet Explorer, Mozilla Firefox, Netscape Navigator) dhe mesazhet shërbimet (Google Talk), ndër të tjera.

GeminiDuke : Me aftësitë e tij të ngarkuesit dhe hanizmat e shumtë për të siguruar qëndrueshmëri, GeminiDuke gjithashtu krenohet me funksionalitetet si një vjedhës të dhënash, i fokusuar kryesisht në mbledhjen e të dhënave të konfigurimit të pajisjes. Ky informacion përfshin llogaritë e përdoruesve, drejtuesit dhe softuerin e instaluar, proceset e ekzekutimit, programet dhe shërbimet e nisjes, cilësimet e rrjetit, dosjet dhe skedarët specifikë dhe programet dhe skedarët e aksesuar së fundi.

CosmicDuke   (e njohur gjithashtu si BotgenStudios, NemesisGemina dhe Tinybaron): Duke përfshirë disa ngarkues, një sërë komponentësh për të siguruar qëndrueshmëri dhe një modul për përshkallëzimin e privilegjeve, CosmicDuke kryesisht sillet rreth aftësive të tij për vjedhjen e informacionit. Ai mund të eksplorojë skedarë me shtesa specifike, të eksportojë certifikata kriptografike (përfshirë çelësat privatë), të regjistrojë pamje nga ekrani, të regjistrojë goditjet e tasteve (tastilogging), të marrë kredencialet e identifikimit nga shfletuesit, klientët e postës elektronike dhe të dërguarit, si dhe të mbledhë përmbajtje nga clipboard (kopje -paste buffer).

MiniDuke : Ky malware vjen në përsëritje të ndryshme, duke përfshirë një ngarkues, shkarkues dhe funksionalitete të pasme. MiniDuke përdoret kryesisht për të përgatitur një sistem për infeksionet e mëvonshme ose për të lehtësuar përparimin e infeksioneve të tilla.

Familja Duke Malware vazhdon të zgjerohet

Studiuesit kanë arritur të identifikojnë disa kërcënime të tjera që i përkasin familjes së malware të Duke dhe që përdoren si pjesë e arsenalit keqdashës të APT29.

CozyDuke , i njohur gjithashtu si Cozer, CozyBear, CozyCar dhe EuroAPT, funksionon kryesisht si një derë e pasme. Qëllimi kryesor i tij është të krijojë një pikë hyrjeje, e cila shpesh quhet 'backdoor', për infeksionet e mëvonshme, veçanërisht modulet e veta. Për ta arritur këtë, ai përdor një pikatore në lidhje me module të shumta të krijuara për të siguruar qëndrueshmëri.

Ndër përbërësit e tij janë ato të dedikuara për nxjerrjen e të dhënave të sistemit, ekzekutimin e komandave themelore Cmd.exe, kapjen e pamjeve të ekranit dhe vjedhjen e kredencialeve të hyrjes. Çuditërisht, CozyDuke posedon gjithashtu aftësinë për të depërtuar dhe ekzekutuar skedarë të tjerë, duke nënkuptuar mundësinë për të lehtësuar një spektër të gjerë infeksionesh malware.

OnionDuke prezantohet si malware modular me një grup të larmishëm konfigurimesh të mundshme. I pajisur me aftësi ngarkuese dhe pikatore, ky program prezanton një sërë modulesh për vjedhjen e informacionit, duke përfshirë ato të fokusuara në grumbullimin e fjalëkalimeve dhe të dhënave të tjera të ndjeshme. Për më tepër, ai përmban një komponent të orientuar drejt nisjes së sulmeve të mohimit të shërbimit të shpërndarë (DDoS). Një tjetër modul është krijuar për të shfrytëzuar llogaritë e komprometuara të rrjeteve sociale për fillimin e fushatave të padëshiruara, duke përforcuar potencialisht shtrirjen e infeksionit.

SeaDuke , i referuar gjithashtu si SeaDaddy dhe SeaDask, dallohet si një derë e pasme ndër-platformë e krijuar për të funksionuar si në sistemet Windows ashtu edhe në Linux. Pavarësisht nga thjeshtësia e tij relative, SeaDuke shërben si një grup mjetesh themelore, i orientuar kryesisht drejt ekzekutimit të skedarëve të infiltruar për të përhapur infeksionin.

HammerDuke , i njohur në mënyrë alternative si HAMMERTOSS dhe Netduke, shfaqet si një derë e pasme e drejtpërdrejtë. Përdorimi i tij i dukshëm është vërejtur ekskluzivisht si një derë e pasme dytësore që pason një infeksion CozyDuke.

CloudDuke gjithashtu i njohur si CloudLook dhe MiniDionis, manifestohet në dy versione të pasme. Ky malware përfshin funksionet e shkarkimit dhe ngarkuesit, të drejtuara kryesisht në marrjen dhe instalimin e ngarkesave të dobishme nga vendndodhje të paracaktuara, qoftë nga interneti ose nga një llogari Microsoft OneDrive.

Është thelbësore të nënvizohet se perspektiva e aktorit të The Dukes APT që të prezantojë grupe mjetesh të reja malware mbetet e konsiderueshme nëse operacionet e tyre nuk ndalen. Natyra e aktiviteteve të tyre sugjeron një potencial të qëndrueshëm për inovacion në strategjitë dhe teknikat e tyre.