Duke Malware

Duke är den övergripande termen som betecknar en samling verktygsuppsättningar för skadlig programvara som distribueras av APT29 APT (Advanced Persistent Threat)-aktören. Denna skådespelare, som känns igen av flera alias som The Dukes, Cloaked Ursa, CozyBear, Nobelium och UNC2452, verkar inom cyberintrång. APT29 är anslutet till Ryska federationens Foreign Intelligence Service (SVR RF), vilket betyder ett statssponsrat ursprung från Ryssland. Gruppens strävanden har sina rötter i politiska och geopolitiska motiv, med fokus på underrättelseinsamling och cyberspionage.

Under paraplyet av Duke malware-familjen ligger ett omfattande utbud av hotfull programvara, som omfattar olika typer som systembakdörrar, laddare, infostealers, processstörare och mer.

Det senaste exemplet av en attackkampanj förknippad med The Dukes-gruppen ägde rum 2023. Denna kampanj innebar spridning av skadliga PDF-dokument som kamouflerade sig själva som diplomatiska inbjudningar från den tyska ambassaden. Den här e-postkampanjen riktade sig särskilt till utrikesministerierna i nationer som är i linje med NATO, vilket underströk gruppens strategiska inriktning och potentiella geopolitiska implikationer.

Cyberbrottslingarna skapade specialiserade Duke Malware-hot

APT-skådespelaren känd som The Dukes har behållit sin operativa närvaro sedan åtminstone 2008 och visat upp ett omfattande utbud av verktyg under dessa år. Nedan presenteras en kronologisk översikt över några av de mer framträdande verktygsuppsättningarna som används av just denna hotaktör.

PinchDuke : Denna verktygslåda innehåller en samling laddare utformade för att introducera ytterligare hotfulla element eller program i komprometterade system. Den omfattar en filhämtare avsedd för exfiltrering och en identitetsstöldare. Den senare riktar sig till olika datakällor, inklusive Microsoft Authenticator (passport.net), e-postklienter (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), webbläsare (Internet Explorer, Mozilla Firefox, Netscape Navigator) och meddelandehantering tjänster (Google Talk), bland annat.

GeminiDuke : Med sina laddarfunktioner och flera mekanismer för att säkerställa uthållighet, har GeminiDuke också funktioner som en datastöldare, huvudsakligen fokuserad på att samla in enhetskonfigurationsdata. Denna information inkluderar användarkonton, installerade drivrutiner och programvara, pågående processer, startprogram och tjänster, nätverksinställningar, specifika mappar och filer och nyligen öppnade program och filer.

CosmicDuke   (även känd som BotgenStudios, NemesisGemina och Tinybaron): Bestående av flera lastare, en rad komponenter för att säkerställa uthållighet och en modul för privilegieupptrappning, kretsar CosmicDuke främst kring dess informationsstöldkapacitet. Det kan exfiltrera filer med specifika tillägg, exportera kryptografiska certifikat (inklusive privata nycklar), ta skärmdumpar, spela in tangenttryckningar (tangentloggning), hämta inloggningsuppgifter från webbläsare, e-postklienter och budbärare, samt samla in innehåll från urklipp (kopia) -klistra buffert).

MiniDuke : Den här skadliga programvaran kommer i olika upprepningar, och omfattar en laddare, laddare och bakdörrsfunktioner. MiniDuke används främst för att antingen förbereda ett system för efterföljande infektioner eller underlätta utvecklingen av sådana infektioner.

Duke Malware-familjen fortsätter att expandera

Forskare har lyckats identifiera flera fler hot som tillhör Duke malware-familjen och som används som en del av den skadliga arsenalen av APT29.

CozyDuke , även känd som Cozer, CozyBear, CozyCar och EuroAPT, fungerar främst som en bakdörr. Dess kärnsyfte är att etablera en ingångspunkt, ofta kallad en "bakdörr", för efterföljande infektioner, särskilt dess egna moduler. För att uppnå detta använder den en dropper i kombination med flera moduler utformade för att säkerställa uthållighet.

Bland dess komponenter är de dedikerade till att extrahera systemdata, utföra grundläggande Cmd.exe-kommandon, ta skärmdumpar och stjäla inloggningsuppgifter. Anmärkningsvärt nog har CozyDuke också förmågan att infiltrera och köra andra filer, vilket innebär potentialen att underlätta ett brett spektrum av skadlig programvara.

OnionDuke presenterar sig som modulär skadlig programvara med en mångfald möjliga konfigurationer. Beväpnad med kapacitet för lastare och droppar, introducerar detta program en rad informationsstöldmoduler, inklusive de som fokuserar på att samla in lösenord och annan känslig data. Dessutom har den en komponent inriktad på att starta DDoS-attacker (Distributed Denial-of-Service). En annan modul är utformad för att utnyttja komprometterade sociala nätverkskonton för att initiera spamkampanjer, vilket potentiellt ökar räckvidden för infektionen.

SeaDuke , även kallad SeaDaddy och SeaDask, sticker ut som en plattformsoberoende bakdörr designad för att fungera på både Windows- och Linux-system. Trots sin relativa enkelhet fungerar SeaDuke som en grundläggande verktygsuppsättning, främst inriktad på att exekvera infiltrerade filer för att sprida infektionen.

HammerDuke , växelvis känd som HAMMERTOSS och Netduke, framträder som en enkel bakdörr. Dess märkbara användning har uteslutande noterats som en sekundär bakdörr som följer en CozyDuke-infektion.

CloudDuke även erkänt som CloudLook och MiniDionis, manifesteras i två bakdörrsversioner. Denna skadliga programvara omfattar nedladdnings- och laddarfunktioner, främst inriktade på att hämta och installera nyttolaster från fördefinierade platser, antingen från internet eller ett Microsoft OneDrive-konto.

Det är viktigt att understryka att utsikterna för att The Dukes APT-aktör ska introducera nya verktyg för skadlig programvara förblir betydande om inte deras verksamhet stoppas. Arten av deras verksamhet tyder på en varaktig potential för innovation i deras strategier och tekniker.