Дуке Малваре

Дуке је свеобухватни термин који означава колекцију скупова малвера алата које је применио актер АПТ29 АПТ (Адванцед Персистент Тхреат). Овај глумац, препознат по вишеструким псеудонима као што су Тхе Дукес, Цлоакед Урса, ЦозиБеар, Нобелиум и УНЦ2452, делује у домену сајбер упада. АПТ29 је повезан са Спољном обавештајном службом Руске Федерације (СВР РФ), што означава порекло из Русије које спонзорише држава. Потрага групе је укорењена у политичким и геополитичким мотивима, фокусирајући се на прикупљање обавештајних података и област сајбер шпијунаже.

Под окриљем породице злонамерних програма Дуке налази се широка лепеза претећег софтвера, који обухвата различите типове као што су системска позадинска врата, учитавачи, украдивачи информација, ометачи процеса и још много тога.

Најновији случај кампање напада у вези са групом Тхе Дукес десио се 2023. године. Ова кампања је укључивала ширење злонамерних ПДФ докумената који су се камуфлирали као дипломатски позиви који потичу из немачке амбасаде. Ова кампања путем е-поште била је усмерена на министарства спољних послова држава чланица НАТО-а, наглашавајући стратешко циљање групе и потенцијалне геополитичке импликације.

Сајбер-криминалци су креирали специјализоване претње од злонамерног софтвера Дуке

АПТ глумац познат као Тхе Дукес задржао је своје оперативно присуство од најмање 2008. године, излажући широк спектар алата током ових година. У наставку је представљен хронолошки преглед неких од истакнутијих скупова алата које користи овај конкретни актер претње.

ПинцхДуке : Овај комплет алата садржи колекцију учитавача дизајнираних да унесу додатне претеће елементе или програме у компромитоване системе. Обухвата граббер фајлова намењен за ексфилтрацију и крађу акредитива. Ово последње циља различите изворе података, укључујући Мицрософт Аутхентицатор (пасспорт.нет), клијенте е-поште (Маил.ру, Мозилла Тхундербирд, Оутлоок, Тхе Бат!, Иахоо Маил), претраживаче (Интернет Екплорер, Мозилла Фирефок, Нетсцапе Навигатор) и размену порука услуге (Гоогле Талк), између осталих.

ГеминиДуке : Са својим могућностима учитавања и вишеструким механизмима који обезбеђују постојаност, ГеминиДуке се такође може похвалити функцијама као крадљивац података, претежно фокусиран на прикупљање података о конфигурацији уређаја. Ове информације обухватају корисничке налоге, инсталиране драјвере и софтвер, покренуте процесе, програме и услуге за покретање, мрежна подешавања, одређене фасцикле и датотеке и недавно приступане програме и датотеке.

ЦосмицДуке   (такође препознат као БотгенСтудиос, НемесисГемина и Тинибарон): Састоји се од неколико учитавача, низа компоненти које осигуравају постојаност и модула за ескалацију привилегија, ЦосмицДуке се првенствено врти око својих могућности крађе информација. Може да ексфилтрира датотеке са одређеним екстензијама, да извози криптографске сертификате (укључујући приватне кључеве), да снима снимке екрана, да снима притиске тастера (кеилоггинг), да преузме акредитиве за пријаву из прегледача, клијената е-поште и месинџера, као и да прикупља садржај из међуспремника (копирај -пасте пуфер).

МиниДуке : Овај злонамерни софтвер долази у различитим итерацијама, обухватајући функције за учитавање, преузимање и бацкдоор. МиниДуке се првенствено користи за припрему система за накнадне инфекције или за олакшавање напредовања таквих инфекција.

Породица злонамерног софтвера Дуке наставља да се шири

Истраживачи су успели да идентификују још неколико претњи које припадају породици малвера Дуке и које се користе као део злонамерног арсенала АПТ29.

ЦозиДуке , такође познат као Цозер, ЦозиБеар, ЦозиЦар и ЕуроАПТ, функционише првенствено као бацкдоор. Његова основна сврха је да успостави улазну тачку, која се често назива 'бацкдоор', за накнадне инфекције, посебно за сопствене модуле. Да би се то постигло, користи капаљку у комбинацији са више модула дизајнираних да осигурају постојаност.

Међу његовим компонентама су оне посвећене екстракцији системских података, извршавању основних команди Цмд.еке, снимању снимака екрана и крађи акредитива за пријаву. Занимљиво је да ЦозиДуке такође поседује способност да се инфилтрира и изврши друге датотеке, што имплицира потенцијал да олакша широк спектар инфекција малвером.

ОнионДуке се представља као модуларни злонамерни софтвер са разноврсним скупом могућих конфигурација. Наоружан могућностима пуњача и дроппера, овај програм уводи низ модула за крађу информација, укључујући оне који су фокусирани на прикупљање лозинки и других осетљивих података. Поред тога, садржи компоненту која је усмерена на покретање дистрибуираних напада ускраћивања услуге (ДДоС). Други модул је осмишљен да искористи компромитоване налоге друштвених мрежа за покретање нежељених кампања, потенцијално повећавајући домет инфекције.

СеаДуке , такође познат као СеаДадди и СеаДаск, истиче се као бацкдоор на више платформи дизајниран да ради и на Виндовс и на Линук системима. Упркос релативној једноставности, СеаДуке служи као основни скуп алата, првенствено оријентисан на извршавање инфилтрираних датотека за ширење инфекције.

ХаммерДуке , познат наизменично као ХАММЕРТОСС и Нетдуке, појављује се као једноставан бацкдоор. Његова приметна употреба је искључиво забележена као секундарни бацкдоор који прати ЦозиДуке инфекцију.

ЦлоудДуке такође признат као ЦлоудЛоок и МиниДионис, манифестује се у две бацкдоор верзије. Овај злонамерни софтвер обухвата функције преузимања и учитавања, првенствено усмерене на преузимање и инсталирање корисних података са унапред дефинисаних локација, било са интернета или Мицрософт ОнеДриве налога.

Кључно је подвући да изгледи да глумац Тхе Дукес АПТ уведе нове скупове малвера остају значајни осим ако се њихове операције не зауставе. Природа њихових активности сугерише одрживи потенцијал за иновације у њиховим стратегијама и техникама.