Duke Kötü Amaçlı Yazılımı
Duke, APT29 APT (Gelişmiş Kalıcı Tehdit) aktörü tarafından dağıtılan kötü amaçlı yazılım araç setleri koleksiyonunu ifade eden kapsayıcı bir terimdir. The Dukes, Cloaked Ursa, CozyBear, Nobelium ve UNC2452 gibi birçok takma adla tanınan bu aktör, siber saldırılar alanında faaliyet gösteriyor. APT29, Rusya Federasyonu Dış İstihbarat Servisi'ne (SVR RF) bağlıdır ve Rusya'dan devlet destekli bir kökene işaret eder. Grubun arayışları, istihbarat toplama ve siber casusluk alanına odaklanan siyasi ve jeopolitik motivasyonlara dayanmaktadır.
Duke kötü amaçlı yazılım ailesinin şemsiyesi altında, sistem arka kapıları, yükleyiciler, bilgi hırsızları, süreç bozucular ve daha fazlası gibi çeşitli türleri kapsayan çok çeşitli tehdit edici yazılımlar bulunur.
The Dukes grubuyla bağlantılı bir saldırı kampanyasının en son örneği 2023'te gerçekleşti. Bu kampanya, Alman büyükelçiliğinden gelen diplomatik davetler olarak kendilerini kamufle eden kötü niyetli PDF belgelerinin yayılmasını içeriyordu. Özellikle, bu e-posta kampanyası, grubun stratejik hedeflemesinin ve potansiyel jeopolitik sonuçlarının altını çizerek, NATO ile uyumlu ulusların Dışişleri bakanlıklarını hedef aldı.
Siber Suçlular Özel Duke Kötü Amaçlı Yazılım Tehditleri Oluşturdu
The Dukes olarak bilinen APT aktörü, en az 2008'den beri operasyonel varlığını sürdürdü ve bu yıllar boyunca geniş bir araç yelpazesi sergiledi. Aşağıda, bu belirli tehdit aktörü tarafından kullanılan daha belirgin araç setlerinden bazılarının kronolojik bir özeti sunulmaktadır.
PinchDuke : Bu araç seti, güvenliği ihlal edilmiş sistemlere ek tehdit edici öğeler veya programlar eklemek için tasarlanmış bir yükleyici koleksiyonu içerir. Hırsızlık için tasarlanmış bir dosya yakalayıcı ve bir kimlik bilgisi hırsızı içerir. İkincisi, Microsoft Authenticator (passport.net), e-posta istemcileri (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), tarayıcılar (Internet Explorer, Mozilla Firefox, Netscape Navigator) ve mesajlaşma dahil olmak üzere çeşitli veri kaynaklarını hedefler. hizmetleri (Google Talk), diğerleri arasında.
GeminiDuke : Kalıcılığı sağlamak için yükleyici yetenekleri ve birden çok mekanizmasıyla GeminiDuke ayrıca, ağırlıklı olarak cihaz yapılandırma verilerini toplamaya odaklanan bir veri hırsızı olarak işlevlere sahiptir. Bu bilgilere kullanıcı hesapları, yüklü sürücüler ve yazılımlar, çalışan işlemler, başlangıç programları ve hizmetleri, ağ ayarları, belirli klasörler ve dosyalar ve son erişilen programlar ve dosyalar dahildir.
KozmikDuke (BotgenStudios, NemesisGemina ve Tinybaron olarak da bilinir): Birkaç yükleyici, kalıcılığı sağlamak için bir dizi bileşen ve ayrıcalık yükseltme için bir modül içeren CosmicDuke, öncelikle bilgi çalma yetenekleri etrafında döner. Belirli uzantılara sahip dosyaları dışarı sızdırabilir, kriptografik sertifikaları (özel anahtarlar dahil) dışa aktarabilir, ekran görüntüleri yakalayabilir, tuş vuruşlarını kaydedebilir (keylogging), tarayıcılardan, e-posta istemcilerinden ve habercilerden oturum açma kimlik bilgilerini alabilir ve ayrıca panodan içerik toplayabilir (kopyala) - yapıştırma tamponu).
MiniDuke : Bu kötü amaçlı yazılım, bir yükleyici, indirici ve arka kapı işlevlerini kapsayan çeşitli yinelemelerle gelir. MiniDuke öncelikle ya sonraki enfeksiyonlar için bir sistem hazırlamak ya da bu tür enfeksiyonların ilerlemesini kolaylaştırmak için kullanılır.
Duke Kötü Amaçlı Yazılım Ailesi Genişlemeye Devam Ediyor
Araştırmacılar, Duke kötü amaçlı yazılım ailesine ait olan ve APT29'un kötü niyetli cephaneliğinin bir parçası olarak kullanılan birkaç tehdit daha belirlemeyi başardılar.
Cozer, CozyBear, CozyCar ve EuroAPT olarak da tanınan CozyDuke , öncelikle bir arka kapı işlevi görür. Temel amacı, özellikle kendi modülleri olmak üzere sonraki enfeksiyonlar için genellikle 'arka kapı' olarak adlandırılan bir giriş noktası oluşturmaktır. Bunu başarmak için, kalıcılığı sağlamak için tasarlanmış çoklu modüllerle birlikte bir damlalık kullanır.
Bileşenleri arasında, sistem verilerini ayıklamaya, temel Cmd.exe komutlarını yürütmeye, ekran görüntüleri yakalamaya ve oturum açma kimlik bilgilerini çalmaya ayrılmış olanlar bulunur. Dikkate değer bir şekilde, CozyDuke ayrıca diğer dosyalara sızma ve yürütme yeteneğine de sahiptir, bu da geniş bir kötü amaçlı yazılım bulaşma yelpazesini kolaylaştırma potansiyeline işaret eder.
OnionDuke, kendisini çeşitli olası yapılandırmalara sahip modüler bir kötü amaçlı yazılım olarak sunar. Yükleyici ve damlalık yetenekleriyle donanmış bu program, parolaları ve diğer hassas verileri toplamaya odaklananlar da dahil olmak üzere bir dizi bilgi çalma modülü sunar. Ek olarak, Dağıtılmış Hizmet Reddi (DDoS) saldırılarını başlatmaya yönelik bir bileşen içerir. Başka bir modül, istenmeyen e-posta kampanyaları başlatmak için güvenliği ihlal edilmiş sosyal ağ hesaplarından yararlanmak üzere tasarlandı ve potansiyel olarak enfeksiyonun erişimini artırıyor.
SeaDaddy ve SeaDask olarak da anılan SeaDuke , hem Windows hem de Linux sistemler üzerinde çalışacak şekilde tasarlanmış platformlar arası bir arka kapı olarak öne çıkıyor. Göreceli basitliğine rağmen SeaDuke, temel olarak enfeksiyonu yaymak için sızan dosyaları çalıştırmaya yönelik temel bir araç seti olarak hizmet eder.
Alternatif olarak HAMMERTOSS ve Netduke olarak bilinen HammerDuke , basit bir arka kapı olarak ortaya çıkıyor. Fark edilebilir kullanımı, yalnızca bir CozyDuke enfeksiyonunu izleyen ikincil bir arka kapı olarak belirtilmiştir.
CloudDuke , CloudLook ve MiniDionis olarak da bilinir ve iki arka kapı versiyonunda kendini gösterir. Bu kötü amaçlı yazılım, ister internetten ister bir Microsoft OneDrive hesabından olsun, öncelikle önceden tanımlanmış konumlardan yükleri almaya ve yüklemeye yönelik indirici ve yükleyici işlevlerini kapsar.
The Dukes APT aktörünün yeni kötü amaçlı yazılım araç setlerini tanıtma olasılığının, operasyonları durmadığı sürece önemli olmaya devam edeceğinin altını çizmek çok önemlidir. Faaliyetlerinin doğası, stratejilerinde ve tekniklerinde sürdürülebilir bir yenilik potansiyeli olduğunu göstermektedir.
