Duke มัลแวร์

Duke เป็นคำที่ครอบคลุมซึ่งแสดงถึงชุดเครื่องมือมัลแวร์ที่ปรับใช้โดยตัวแสดง APT29 APT (Advanced Persistent Threat) นักแสดงผู้นี้ซึ่งเป็นที่รู้จักจากนามแฝงต่างๆ เช่น The Dukes, Cloaked Ursa, CozyBear, Nobelium และ UNC2452 ปฏิบัติการภายในขอบเขตของการบุกรุกทางไซเบอร์ APT29 เป็นพันธมิตรกับหน่วยข่าวกรองต่างประเทศแห่งสหพันธรัฐรัสเซีย (SVR RF) ซึ่งบ่งชี้ถึงแหล่งกำเนิดที่ได้รับการสนับสนุนจากรัฐจากรัสเซีย การแสวงหาของกลุ่มมีรากฐานมาจากแรงจูงใจทางการเมืองและภูมิรัฐศาสตร์ โดยมุ่งเน้นไปที่การรวบรวมข่าวกรองและขอบเขตของการจารกรรมทางไซเบอร์

ภายใต้ร่มเงาของตระกูลมัลแวร์ Duke มีซอฟต์แวร์คุกคามจำนวนมาก ซึ่งครอบคลุมประเภทต่างๆ เช่น แบ็คดอร์ของระบบ ตัวโหลด ตัวขโมยข้อมูล ตัวขัดขวางกระบวนการ และอื่นๆ

ตัวอย่างล่าสุดของแคมเปญโจมตีที่เกี่ยวข้องกับกลุ่ม The Dukes เกิดขึ้นในปี 2023 แคมเปญนี้เกี่ยวข้องกับการเผยแพร่เอกสาร PDF ที่เป็นอันตรายซึ่งอำพรางตัวเองว่าเป็นคำเชิญทางการทูตที่มาจากสถานทูตเยอรมัน โดยเฉพาะอย่างยิ่ง แคมเปญอีเมลนี้กำหนดเป้าหมายกระทรวงการต่างประเทศของประเทศต่างๆ ที่สอดคล้องกับ NATO โดยเน้นย้ำถึงการกำหนดเป้าหมายเชิงกลยุทธ์ของกลุ่มและผลกระทบทางภูมิรัฐศาสตร์ที่อาจเกิดขึ้น

อาชญากรไซเบอร์สร้างภัยคุกคามมัลแวร์ Duke โดยเฉพาะ

นักแสดงของ APT หรือที่รู้จักในชื่อ The Dukes ยังคงดำเนินการอยู่ตั้งแต่อย่างน้อยปี 2008 โดยจัดแสดงเครื่องมือมากมายในช่วงหลายปีที่ผ่านมา นำเสนอด้านล่างเป็นภาพรวมตามลำดับเวลาของชุดเครื่องมือที่โดดเด่นบางชุดซึ่งใช้โดยผู้คุกคามรายนี้

PinchDuke : ชุดเครื่องมือนี้มีคอลเลกชันของตัวโหลดที่ออกแบบมาเพื่อแนะนำองค์ประกอบหรือโปรแกรมที่เป็นภัยคุกคามเพิ่มเติมในระบบที่ถูกบุกรุก ประกอบด้วยตัวจับไฟล์ที่มีไว้สำหรับการกรองข้อมูลและตัวขโมยข้อมูลประจำตัว หลังกำหนดเป้าหมายแหล่งข้อมูลต่าง ๆ รวมถึง Microsoft Authenticator (passport.net), ไคลเอนต์อีเมล (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), เบราว์เซอร์ (Internet Explorer, Mozilla Firefox, Netscape Navigator) และการส่งข้อความ บริการต่างๆ (Google Talk) และอื่นๆ

GeminiDuke : ด้วยความสามารถของตัวโหลดและการทำงานแบบ multi-me c hanisms เพื่อให้มั่นใจถึงการคงอยู่ GeminiDuke ยังมีฟังก์ชันการทำงานในฐานะตัวขโมยข้อมูล โดยมุ่งเน้นที่การรวบรวมข้อมูลการกำหนดค่าอุปกรณ์เป็นส่วนใหญ่ ข้อมูลนี้รวมถึงบัญชีผู้ใช้ ไดรเวอร์และซอฟต์แวร์ที่ติดตั้ง กระบวนการทำงาน โปรแกรมและบริการเริ่มต้น การตั้งค่าเครือข่าย โฟลเดอร์และไฟล์เฉพาะ และโปรแกรมและไฟล์ที่เข้าถึงล่าสุด

คอสมิคดุ๊ก   (เรียกอีกอย่างว่า BotgenStudios, NemesisGemina และ Tinybaron): ประกอบด้วยตัวโหลดหลายตัว ส่วนประกอบที่หลากหลายเพื่อให้แน่ใจว่าคงอยู่ และโมดูลสำหรับการยกระดับสิทธิ์ CosmicDuke หมุนรอบความสามารถในการขโมยข้อมูลเป็นหลัก มันสามารถแยกไฟล์ที่มีนามสกุลเฉพาะ ส่งออกใบรับรองการเข้ารหัสลับ (รวมถึงคีย์ส่วนตัว) จับภาพหน้าจอ บันทึกการกดแป้น (keylogging) ดึงข้อมูลรับรองการเข้าสู่ระบบจากเบราว์เซอร์ อีเมลไคลเอ็นต์ และผู้ส่งสาร ตลอดจนรวบรวมเนื้อหาจากคลิปบอร์ด (คัดลอก - วางบัฟเฟอร์)

MiniDuke : มัลแวร์นี้มีการทำซ้ำหลายครั้ง ครอบคลุมทั้งตัวโหลด ตัวดาวน์โหลด และฟังก์ชันแบ็คดอร์ MiniDuke ใช้งานเป็นหลักเพื่อเตรียมระบบสำหรับการติดเชื้อที่ตามมาหรืออำนวยความสะดวกในการแพร่กระจายของการติดเชื้อดังกล่าว

ตระกูลมัลแวร์ Duke ยังคงขยายตัว

นักวิจัยสามารถระบุภัยคุกคามเพิ่มเติมอีกหลายรายการที่เป็นของตระกูลมัลแวร์ Duke และถูกใช้เป็นส่วนหนึ่งของคลังแสงที่เป็นอันตรายของ APT29

CozyDuke หรือที่รู้จักกันในชื่อ Cozer, CozyBear, CozyCar และ EuroAPT ทำหน้าที่เป็นประตูหลังเป็นหลัก จุดประสงค์หลักของมันคือการสร้างจุดเริ่มต้น ซึ่งมักเรียกกันว่า 'ประตูหลัง' สำหรับการติดไวรัสที่ตามมา โดยเฉพาะโมดูลของมันเอง เพื่อให้บรรลุเป้าหมายนี้ จึงใช้หลอดหยดร่วมกับโมดูลต่างๆ ที่ออกแบบมาเพื่อให้มั่นใจถึงการคงอยู่

ในบรรดาคอมโพเนนต์ต่างๆ ได้แก่ คอมโพเนนต์ที่ทุ่มเทให้กับการดึงข้อมูลระบบ การดำเนินการคำสั่ง Cmd.exe พื้นฐาน การจับภาพหน้าจอ และการขโมยข้อมูลรับรองการเข้าสู่ระบบ ที่น่าทึ่งคือ CozyDuke ยังมีความสามารถในการแทรกซึมและเรียกใช้ไฟล์อื่น ๆ ซึ่งบ่งบอกถึงศักยภาพในการอำนวยความสะดวกในการติดมัลแวร์ในวงกว้าง

OnionDuke นำเสนอตัวเองเป็นมัลแวร์โมดูลาร์พร้อมชุดการกำหนดค่าที่หลากหลาย โปรแกรมนี้มีความสามารถในการโหลดเดอร์และดรอปเปอร์ นำเสนอชุดโมดูลการขโมยข้อมูล รวมถึงโมดูลที่เน้นการเก็บรหัสผ่านและข้อมูลสำคัญอื่นๆ นอกจากนี้ ยังมีส่วนประกอบที่มุ่งสู่การโจมตีแบบ Distributed Denial-of-Service (DDoS) โมดูลอื่นได้รับการออกแบบเพื่อใช้ประโยชน์จากบัญชีโซเชียลเน็ตเวิร์กที่ถูกบุกรุกเพื่อเริ่มแคมเปญสแปม ซึ่งอาจขยายการเข้าถึงของผู้ติดเชื้อ

SeaDuke หรือที่เรียกว่า SeaDaddy และ SeaDask โดดเด่นในฐานะแบ็คดอร์ข้ามแพลตฟอร์มที่ออกแบบมาเพื่อใช้งานทั้งบนระบบ Windows และ Linux แม้จะค่อนข้างเรียบง่าย แต่ SeaDuke ยังทำหน้าที่เป็นชุดเครื่องมือพื้นฐาน โดยมุ่งเน้นที่การดำเนินการกับไฟล์ที่ถูกแทรกซึมเพื่อเผยแพร่การติดไวรัสเป็นหลัก

HammerDuke รู้จักกันในชื่อ HAMMERTOSS และ Netduke กลายเป็นประตูหลังที่ตรงไปตรงมา การใช้งานที่มองเห็นได้นั้นได้รับการบันทึกไว้โดยเฉพาะว่าเป็นประตูหลังรองที่ตามหลังการติดเชื้อ CozyDuke

CloudDuke ยังรู้จักในชื่อ CloudLook และ MiniDionis ซึ่งแสดงในเวอร์ชันแบ็คดอร์สองเวอร์ชัน มัลแวร์นี้ครอบคลุมการทำงานของตัวดาวน์โหลดและตัวโหลด โดยหลักแล้วมุ่งไปที่การดึงข้อมูลและติดตั้งเพย์โหลดจากตำแหน่งที่ตั้งที่กำหนดไว้ล่วงหน้า ไม่ว่าจะมาจากอินเทอร์เน็ตหรือบัญชี Microsoft OneDrive

สิ่งสำคัญคือต้องขีดเส้นใต้ว่าโอกาสของนักแสดง The Dukes APT ที่จะเปิดตัวชุดเครื่องมือมัลแวร์ใหม่ยังคงมีอยู่มาก เว้นแต่การดำเนินการของพวกเขาจะหยุดชะงัก ลักษณะของกิจกรรมของพวกเขาแสดงให้เห็นศักยภาพที่ยั่งยืนสำหรับนวัตกรรมในกลยุทธ์และเทคนิคของพวกเขา