డ్యూక్ మాల్వేర్
డ్యూక్ అనేది APT29 APT (అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్) యాక్టర్ చేత అమలు చేయబడిన మాల్వేర్ టూల్సెట్ల సేకరణను సూచించే విస్తృతమైన పదం. ది డ్యూక్స్, క్లోక్డ్ ఉర్సా, కోజీబేర్, నోబెలియం మరియు UNC2452 వంటి బహుళ మారుపేర్లతో గుర్తింపు పొందిన ఈ నటుడు సైబర్ చొరబాట్ల పరిధిలో పనిచేస్తున్నాడు. APT29 రష్యన్ ఫెడరేషన్ (SVR RF) యొక్క ఫారిన్ ఇంటెలిజెన్స్ సర్వీస్తో అనుబంధించబడింది, ఇది రష్యా నుండి రాష్ట్ర-ప్రాయోజిత మూలాన్ని సూచిస్తుంది. సమూహం యొక్క అన్వేషణలు రాజకీయ మరియు భౌగోళిక రాజకీయ ప్రేరణలలో పాతుకుపోయాయి, ఇంటెలిజెన్స్ సేకరణ మరియు సైబర్ గూఢచర్యం యొక్క రంగంపై దృష్టి సారిస్తుంది.
డ్యూక్ మాల్వేర్ కుటుంబం యొక్క గొడుగు కింద బెదిరింపు సాఫ్ట్వేర్ యొక్క విస్తారమైన శ్రేణి ఉంది, ఇది సిస్టమ్ బ్యాక్డోర్లు, లోడర్లు, ఇన్ఫోస్టీలర్లు, ప్రాసెస్ డిస్రప్టర్లు మరియు మరిన్నింటిని కలిగి ఉంటుంది.
డ్యూక్స్ గ్రూప్తో అనుబంధించబడిన దాడి ప్రచారానికి సంబంధించిన అత్యంత ఇటీవలి ఉదాహరణ 2023లో జరిగింది. ఈ ప్రచారంలో జర్మన్ ఎంబసీ నుండి వచ్చిన దౌత్యపరమైన ఆహ్వానాలుగా మభ్యపెట్టే హానికరమైన PDF పత్రాల వ్యాప్తి ఉంది. ముఖ్యంగా, ఈ ఇమెయిల్ ప్రచారం NATOతో జతకట్టిన దేశాల విదేశీ వ్యవహారాల మంత్రిత్వ శాఖలను లక్ష్యంగా చేసుకుంది, సమూహం యొక్క వ్యూహాత్మక లక్ష్యం మరియు సంభావ్య భౌగోళిక రాజకీయ చిక్కులను నొక్కి చెబుతుంది.
సైబర్ నేరగాళ్లు ప్రత్యేకమైన డ్యూక్ మాల్వేర్ బెదిరింపులను సృష్టించారు
ది డ్యూక్స్ అని పిలువబడే APT నటుడు కనీసం 2008 నుండి తన కార్యాచరణ ఉనికిని కొనసాగించాడు, ఈ సంవత్సరాల్లో విస్తృతమైన సాధనాలను ప్రదర్శిస్తున్నాడు. ఈ నిర్దిష్ట బెదిరింపు నటుడు ఉపయోగించిన కొన్ని ప్రముఖ టూల్సెట్ల యొక్క కాలక్రమానుసారమైన అవలోకనం క్రింద ప్రదర్శించబడింది.
PinchDuke : ఈ టూల్కిట్ అదనపు బెదిరింపు అంశాలు లేదా ప్రోగ్రామ్లను రాజీపడిన సిస్టమ్లలోకి ప్రవేశపెట్టడానికి రూపొందించబడిన లోడర్ల సేకరణను కలిగి ఉంది. ఇది ఎక్స్ఫిల్ట్రేషన్ కోసం ఉద్దేశించిన ఫైల్ గ్రాబర్ మరియు క్రెడెన్షియల్ స్టీలర్ను కలిగి ఉంటుంది. Microsoft Authenticator (passport.net), ఇమెయిల్ క్లయింట్లు (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), బ్రౌజర్లు (ఇంటర్నెట్ ఎక్స్ప్లోరర్, మొజిల్లా ఫైర్ఫాక్స్, నెట్స్కేప్ నావిగేటర్) మరియు మెసేజింగ్ వంటి వివిధ డేటా మూలాలను రెండోది లక్ష్యంగా చేసుకుంటుంది. సేవలు (గూగుల్ టాక్), ఇతర వాటిలో.
GeminiDuke : దాని లోడర్ సామర్థ్యాలు మరియు నిలకడను నిర్ధారించడానికి మల్టిపుల్ మి సి హానిజమ్లతో, జెమినిడ్యూక్ డేటా స్టీలర్గా కూడా కార్యాచరణలను కలిగి ఉంది, ప్రధానంగా పరికర కాన్ఫిగరేషన్ డేటాను సేకరించడంపై దృష్టి సారిస్తుంది. ఈ సమాచారంలో వినియోగదారు ఖాతాలు, ఇన్స్టాల్ చేయబడిన డ్రైవర్లు మరియు సాఫ్ట్వేర్, రన్నింగ్ ప్రాసెస్లు, స్టార్టప్ ప్రోగ్రామ్లు మరియు సేవలు, నెట్వర్క్ సెట్టింగ్లు, నిర్దిష్ట ఫోల్డర్లు మరియు ఫైల్లు మరియు ఇటీవల యాక్సెస్ చేసిన ప్రోగ్రామ్లు మరియు ఫైల్లు ఉంటాయి.
కాస్మిక్ డ్యూక్ (BotgenStudios, NemesisGemina మరియు Tinybaron అని కూడా గుర్తించబడింది): అనేక లోడర్లు, నిలకడను నిర్ధారించడానికి అనేక రకాల భాగాలు మరియు ప్రత్యేకాధికారాల పెరుగుదల కోసం ఒక మాడ్యూల్, CosmicDuke ప్రధానంగా దాని సమాచారాన్ని దొంగిలించే సామర్థ్యాల చుట్టూ తిరుగుతుంది. ఇది నిర్దిష్ట పొడిగింపులతో ఫైల్లను ఎక్స్ఫిల్ట్రేట్ చేయగలదు, క్రిప్టోగ్రాఫిక్ సర్టిఫికేట్లను (ప్రైవేట్ కీలతో సహా) ఎగుమతి చేయగలదు, స్క్రీన్షాట్లను సంగ్రహించగలదు, కీస్ట్రోక్లను రికార్డ్ చేస్తుంది (కీలాగింగ్), బ్రౌజర్లు, ఇమెయిల్ క్లయింట్లు మరియు మెసెంజర్ల నుండి లాగిన్ ఆధారాలను తిరిగి పొందవచ్చు, అలాగే క్లిప్బోర్డ్ (కాపీ) నుండి కంటెంట్ను సేకరించవచ్చు. -పేస్ట్ బఫర్).
MiniDuke : ఈ మాల్వేర్ లోడర్, డౌన్లోడర్ మరియు బ్యాక్డోర్ ఫంక్షనాలిటీలను కలిగి ఉండే వివిధ పునరావృతాలలో వస్తుంది. MiniDuke ప్రధానంగా తదుపరి ఇన్ఫెక్షన్ల కోసం వ్యవస్థను సిద్ధం చేయడానికి లేదా అటువంటి ఇన్ఫెక్షన్ల పురోగతిని సులభతరం చేయడానికి ఉపయోగించబడుతుంది.
డ్యూక్ మాల్వేర్ కుటుంబం విస్తరిస్తూనే ఉంది
డ్యూక్ మాల్వేర్ కుటుంబానికి చెందిన అనేక బెదిరింపులను పరిశోధకులు గుర్తించగలిగారు మరియు APT29 యొక్క హానికరమైన ఆర్సెనల్లో భాగంగా ఉపయోగిస్తున్నారు.
CozyDuke , Cozer, CozyBear, CozyCar మరియు EuroAPTగా కూడా గుర్తించబడింది, ప్రధానంగా బ్యాక్డోర్గా పనిచేస్తుంది. దీని ప్రధాన ఉద్దేశ్యం, తదుపరి ఇన్ఫెక్షన్ల కోసం, ప్రత్యేకించి దాని స్వంత మాడ్యూళ్ల కోసం తరచుగా 'బ్యాక్డోర్'గా సూచించబడే ఒక ఎంట్రీ పాయింట్ను ఏర్పాటు చేయడం. దీన్ని సాధించడానికి, ఇది నిలకడను నిర్ధారించడానికి రూపొందించిన బహుళ మాడ్యూళ్లతో కలిపి ఒక డ్రాపర్ను ఉపయోగిస్తుంది.
దాని భాగాలలో సిస్టమ్ డేటాను సంగ్రహించడం, ప్రాథమిక Cmd.exe ఆదేశాలను అమలు చేయడం, స్క్రీన్షాట్లను సంగ్రహించడం మరియు లాగ్-ఇన్ ఆధారాలను దొంగిలించడం కోసం అంకితం చేయబడినవి ఉన్నాయి. విశేషమేమిటంటే, CozyDuke ఇతర ఫైల్లలోకి చొరబడే మరియు అమలు చేయగల సామర్థ్యాన్ని కూడా కలిగి ఉంది, ఇది మాల్వేర్ ఇన్ఫెక్షన్ల యొక్క విస్తృత వర్ణపటాన్ని సులభతరం చేసే సామర్థ్యాన్ని సూచిస్తుంది.
OnionDuke వైవిధ్యమైన కాన్ఫిగరేషన్లతో మాడ్యులర్ మాల్వేర్గా ప్రదర్శించబడుతుంది. లోడర్ మరియు డ్రాపర్ సామర్థ్యాలతో సాయుధమై, ఈ ప్రోగ్రామ్ పాస్వర్డ్లు మరియు ఇతర సున్నితమైన డేటాను సేకరించడంపై దృష్టి సారించిన వాటితో సహా సమాచారాన్ని దొంగిలించే మాడ్యూల్ల శ్రేణిని పరిచయం చేస్తుంది. అదనంగా, ఇది డిస్ట్రిబ్యూటెడ్ డినియల్-ఆఫ్-సర్వీస్ (DDoS) దాడులను ప్రారంభించేందుకు ఉద్దేశించిన ఒక భాగాన్ని కలిగి ఉంది. స్పామ్ ప్రచారాలను ప్రారంభించడం కోసం రాజీపడిన సోషల్ నెట్వర్కింగ్ ఖాతాలను ఉపయోగించుకోవడానికి మరొక మాడ్యూల్ రూపొందించబడింది, ఇది సంక్రమణ వ్యాప్తిని సంభావ్యంగా పెంచుతుంది.
సీడ్యూక్ , సీడాడీ మరియు సీడాస్క్ అని కూడా పిలుస్తారు, ఇది విండోస్ మరియు లైనక్స్ సిస్టమ్లలో పనిచేయడానికి రూపొందించబడిన క్రాస్-ప్లాట్ఫారమ్ బ్యాక్డోర్గా నిలుస్తుంది. దాని సాపేక్ష సరళత ఉన్నప్పటికీ, సీడ్యూక్ ఒక ప్రాథమిక టూల్సెట్గా పనిచేస్తుంది, ప్రధానంగా ఇన్ఫెక్షన్ను ప్రచారం చేయడానికి చొరబడిన ఫైల్లను అమలు చేయడం వైపు దృష్టి సారించింది.
HammerDuke , ప్రత్యామ్నాయంగా HAMMERTOSS మరియు Netduke అని పిలుస్తారు, ఇది నేరుగా బ్యాక్డోర్గా ఉద్భవించింది. దీని గుర్తించదగిన ఉపయోగం ప్రత్యేకంగా CozyDuke సంక్రమణను అనుసరించే ద్వితీయ బ్యాక్డోర్గా గుర్తించబడింది.
CloudDuke CloudLook మరియు MiniDionisగా కూడా గుర్తించబడింది, ఇది రెండు బ్యాక్డోర్ వెర్షన్లలో కనిపిస్తుంది. ఈ మాల్వేర్ డౌన్లోడ్ మరియు లోడర్ ఫంక్షనాలిటీలను కలిగి ఉంటుంది, ఇది ప్రాథమికంగా ఇంటర్నెట్ లేదా Microsoft OneDrive ఖాతా నుండి ముందే నిర్వచించబడిన స్థానాల నుండి పేలోడ్లను పొందడం మరియు ఇన్స్టాల్ చేయడం కోసం ఉద్దేశించబడింది.
డ్యూక్స్ APT యాక్టర్ కొత్త మాల్వేర్ టూల్సెట్లను పరిచయం చేసే అవకాశం వారి కార్యకలాపాలు ఆగిపోయినంత వరకు గణనీయంగానే ఉంటుందని నొక్కి చెప్పడం చాలా కీలకం. వారి కార్యకలాపాల స్వభావం వారి వ్యూహాలు మరియు సాంకేతికతలలో ఆవిష్కరణల కోసం స్థిరమైన సామర్థ్యాన్ని సూచిస్తుంది.
