Duke Malware
Ang Duke ay ang pangkalahatang termino na tumutukoy sa isang koleksyon ng mga toolset ng malware na na-deploy ng aktor ng APT29 APT (Advanced Persistent Threat). Ang aktor na ito, na kinikilala ng maraming alyas gaya ng The Dukes, Cloaked Ursa, CozyBear, Nobelium, at UNC2452, ay tumatakbo sa larangan ng cyber intrusions. Ang APT29 ay kaakibat ng Foreign Intelligence Service ng Russian Federation (SVR RF), na nagpapahiwatig ng pinanggalingan na inisponsor ng estado mula sa Russia. Ang mga hangarin ng grupo ay nag-ugat sa pampulitika at geopolitical na mga motibasyon, na nakatuon sa pangangalap ng katalinuhan at ang larangan ng cyber espionage.
Sa ilalim ng payong ng Duke malware family ay mayroong malawak na hanay ng nagbabantang software, na sumasaklaw sa iba't ibang uri tulad ng system backdoors, loaders, infostealers, process disruptors at higit pa.
Ang pinakahuling pagkakataon ng isang kampanya sa pag-atake na nauugnay sa grupong The Dukes ay naganap noong 2023. Ang kampanyang ito ay nagsasangkot ng pagpapakalat ng mga nakakahamak na dokumentong PDF na nagkunwaring mga diplomatikong imbitasyon na nagmula sa German embassy. Kapansin-pansin, ang email campaign na ito ay naka-target sa Foreign Affairs ministries ng mga bansa na nakahanay sa NATO, na binibigyang-diin ang estratehikong pag-target ng grupo at mga potensyal na geopolitical na implikasyon.
Ang Mga Cybercriminal ay Gumawa ng Mga Espesyal na Banta sa Duke Malware
Ang aktor ng APT na kilala bilang The Dukes ay napanatili ang presensya nito sa pagpapatakbo mula noong hindi bababa sa 2008, na nagpapakita ng malawak na hanay ng mga tool sa paglipas ng mga taon na ito. Ang ipinakita sa ibaba ay isang kronolohikal na pangkalahatang-ideya ng ilan sa mga mas kilalang toolset na ginagamit ng partikular na aktor ng pagbabanta na ito.
PinchDuke : Nagtatampok ang toolkit na ito ng isang koleksyon ng mga loader na idinisenyo upang ipasok ang mga karagdagang elemento ng pagbabanta o programa sa mga nakompromisong system. Sinasaklaw nito ang isang file grabber na nilayon para sa exfiltration at isang credential stealer. Tina-target ng huli ang iba't ibang mapagkukunan ng data, kabilang ang Microsoft Authenticator (passport.net), mga email client (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), mga browser (Internet Explorer, Mozilla Firefox, Netscape Navigator), at pagmemensahe mga serbisyo (Google Talk), bukod sa iba pa.
GeminiDuke : Sa mga kakayahan nito sa loader at maraming me c hanisms upang matiyak ang pagtitiyaga, ipinagmamalaki rin ng GeminiDuke ang mga functionality bilang isang data stealer, na pangunahing nakatuon sa pagkolekta ng data ng configuration ng device. Kasama sa impormasyong ito ang mga user account, naka-install na driver at software, mga proseso sa pagpapatakbo, mga startup program at serbisyo, mga setting ng network, mga partikular na folder at file, at kamakailang na-access na mga program at file.
CosmicDuke (kinikilala rin bilang BotgenStudios, NemesisGemina, at Tinybaron): Binubuo ang ilang loader, isang hanay ng mga bahagi upang matiyak ang pagtitiyaga at isang module para sa pagdami ng pribilehiyo, ang CosmicDuke ay pangunahing umiikot sa mga kakayahan nito sa pagnanakaw ng impormasyon. Maaari itong mag-exfiltrate ng mga file na may mga partikular na extension, mag-export ng mga cryptographic na certificate (kabilang ang mga pribadong key), kumuha ng mga screenshot, magrekord ng mga keystroke (keylogging), kunin ang mga kredensyal sa pag-log-in mula sa mga browser, email client, at messenger, pati na rin mangolekta ng nilalaman mula sa clipboard (kopya -idikit ang buffer).
MiniDuke : Ang malware na ito ay dumarating sa iba't ibang mga pag-ulit, na sumasaklaw sa isang loader, downloader, at backdoor functionality. Pangunahing ginagamit ang MiniDuke upang maghanda ng isang sistema para sa mga kasunod na impeksyon o mapadali ang pag-unlad ng mga naturang impeksiyon.
Patuloy na Lumalawak ang Pamilya ng Duke Malware
Nagawa ng mga mananaliksik na tukuyin ang ilang higit pang mga banta na kabilang sa Duke malware family at ginagamit bilang bahagi ng malisyosong arsenal ng APT29.
Ang CozyDuke , na kinikilala rin bilang Cozer, CozyBear, CozyCar, at EuroAPT, ay pangunahing gumagana bilang backdoor. Ang pangunahing layunin nito ay magtatag ng isang entry point, madalas na tinutukoy bilang isang 'backdoor,' para sa mga kasunod na impeksyon, lalo na ang sarili nitong mga module. Upang makamit ito, gumagamit ito ng isang dropper kasabay ng maraming mga module na idinisenyo upang matiyak ang pagtitiyaga.
Kabilang sa mga bahagi nito ay ang mga nakatuon sa pagkuha ng data ng system, pagpapatupad ng mga pangunahing Cmd.exe na utos, pagkuha ng mga screenshot, at pagnanakaw ng mga kredensyal sa pag-log-in. Kapansin-pansin, ang CozyDuke ay nagtataglay din ng kakayahang makalusot at magsagawa ng iba pang mga file, na nagpapahiwatig ng potensyal na mapadali ang isang malawak na spectrum ng mga impeksyon sa malware.
Ang OnionDuke ay nagpapakita ng sarili bilang modular malware na may magkakaibang hanay ng mga posibleng configuration. Gamit ang mga kakayahan ng loader at dropper, ang program na ito ay nagpapakilala ng isang hanay ng mga module ng pagnanakaw ng impormasyon, kabilang ang mga nakatuon sa pag-aani ng mga password at iba pang sensitibong data. Bukod pa rito, nagtatampok ito ng isang bahagi na nakatuon sa paglulunsad ng mga Distributed Denial-of-Service (DDoS) na pag-atake. Ang isa pang module ay ginawa upang pagsamantalahan ang mga nakompromisong social networking account para sa pagpapasimula ng mga kampanyang spam, na posibleng palakasin ang abot ng impeksiyon.
Ang SeaDuke , na tinutukoy din bilang SeaDaddy at SeaDask, ay namumukod-tangi bilang isang cross-platform na backdoor na idinisenyo upang gumana sa parehong Windows at Linux system. Sa kabila ng pagiging simple nito, ang SeaDuke ay nagsisilbing pangunahing toolset, na pangunahing nakatuon sa pagsasagawa ng mga infiltrated na file upang palaganapin ang impeksiyon.
Ang HammerDuke , na kilala bilang HAMMERTOSS at Netduke, ay lumalabas bilang isang direktang backdoor. Ang nakikitang paggamit nito ay eksklusibong nabanggit bilang pangalawang backdoor na kasunod ng impeksyon ng CozyDuke.
Kinilala din ng CloudDuke bilang CloudLook at MiniDionis, na nagpapakita sa dalawang backdoor na bersyon. Ang malware na ito ay sumasaklaw sa mga functionality ng downloader at loader, na pangunahing nakadirekta sa pagkuha at pag-install ng mga payload mula sa mga paunang natukoy na lokasyon, mula man sa internet o isang Microsoft OneDrive account.
Napakahalagang salungguhitan na ang pag-asam ng aktor ng The Dukes APT na magpakilala ng mga bagong toolset ng malware ay nananatiling malaki maliban kung huminto ang kanilang mga operasyon. Ang likas na katangian ng kanilang mga aktibidad ay nagmumungkahi ng isang napapanatiling potensyal para sa pagbabago sa kanilang mga diskarte at diskarte.
