Шкідливе програмне забезпечення Duke

Duke — це загальний термін, що позначає набір наборів інструментів зловмисного програмного забезпечення, розгорнутих учасником APT29 APT (Advanced Persistent Threat). Цей актор, відомий під кількома псевдонімами, такими як The Dukes, Cloaked Ursa, CozyBear, Nobelium і UNC2452, працює в сфері кібервторгнень. APT29 пов'язаний зі Службою зовнішньої розвідки Російської Федерації (СВР РФ), що свідчить про державне походження з Росії. Діяльність групи ґрунтується на політичних і геополітичних мотивах, зосереджуючись на зборі розвідданих і сфері кібершпигунства.

Під егідою сімейства зловмисних програм Duke лежить величезний набір загрозливого програмного забезпечення, що охоплює різні типи, як-от системні бекдори, завантажувачі, викрадачі інформації, руйнівники процесів тощо.

Останній випадок атаки, пов’язаної з групою The Dukes, стався у 2023 році. Ця кампанія включала поширення шкідливих PDF-документів, які маскувались під дипломатичні запрошення, що надходять від посольства Німеччини. Примітно, що ця кампанія електронною поштою була спрямована на міністерства закордонних справ країн, які є членами НАТО, підкреслюючи стратегічне націлювання групи та потенційні геополітичні наслідки.

Кіберзлочинці створили спеціалізовані шкідливі програми Duke

Актор APT, відомий як The Dukes, зберіг свою оперативну присутність принаймні з 2008 року, демонструючи широкий спектр інструментів протягом цих років. Нижче наведено хронологічний огляд деяких відоміших наборів інструментів, які використовуються цим конкретним загрозником.

PinchDuke : цей набір інструментів містить колекцію завантажувачів, призначених для введення додаткових загрозливих елементів або програм у скомпрометовані системи. Він включає в себе файл-граббер, призначений для викрадання, і викрадач облікових даних. Останній націлений на різні джерела даних, включаючи Microsoft Authenticator (passport.net), клієнти електронної пошти (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), браузери (Internet Explorer, Mozilla Firefox, Netscape Navigator) і обмін повідомленнями. служби (Google Talk), серед інших.

GeminiDuke : Завдяки можливостям завантаження та численним механізмам для забезпечення стійкості GeminiDuke також може похвалитися функціями викрадання даних, переважно зосередженими на зборі даних про конфігурацію пристрою. Ця інформація включає в себе облікові записи користувачів, встановлені драйвери та програмне забезпечення, запущені процеси, програми та служби запуску, налаштування мережі, певні папки та файли, а також нещодавно доступні програми та файли.

Космічний Герцог   (також відомий як BotgenStudios, NemesisGemina та Tinybaron): CosmicDuke містить кілька завантажувачів, низку компонентів для забезпечення стійкості та модуль для підвищення привілеїв, головним чином обертаючись навколо своїх можливостей крадіжки інформації. Він може вилучати файли з певними розширеннями, експортувати криптографічні сертифікати (включаючи приватні ключі), робити знімки екрана, записувати натискання клавіш (кейлогінг), отримувати облікові дані для входу з браузерів, клієнтів електронної пошти та месенджерів, а також збирати вміст із буфера обміну (копіювати -буфер вставки).

MiniDuke : це зловмисне програмне забезпечення випускається в різних ітераціях, включаючи завантажувач, завантажувач і бекдор. MiniDuke в основному використовується для підготовки системи до наступних інфекцій або сприяння прогресуванню таких інфекцій.

Сімейство шкідливих програм Duke продовжує розширюватися

Дослідникам вдалося виявити ще кілька загроз, які належать до сімейства шкідливих програм Duke і використовуються як частина шкідливого арсеналу APT29.

CozyDuke , також відомий як Cozer, CozyBear, CozyCar і EuroAPT, функціонує переважно як бекдор. Його основна мета — створити точку входу, яку часто називають «бекдором», для наступних заражень, зокрема власних модулів. Щоб досягти цього, він використовує дроппер у поєднанні з кількома модулями, призначеними для забезпечення стійкості.

Серед його компонентів є ті, які призначені для вилучення системних даних, виконання основних команд Cmd.exe, захоплення скріншотів і крадіжки облікових даних для входу. Примітно, що CozyDuke також має здатність проникати та запускати інші файли, що означає потенціал сприяння зараженню широкого спектру шкідливих програм.

OnionDuke представляє себе як модульне шкідливе програмне забезпечення з різноманітним набором можливих конфігурацій. Ця програма, озброєна можливостями завантажувача та дроппера, представляє набір модулів для крадіжки інформації, включно з тими, які зосереджені на збиранні паролів та інших конфіденційних даних. Крім того, він містить компонент, призначений для запуску розподілених атак типу «відмова в обслуговуванні» (DDoS). Інший модуль розроблено для використання скомпрометованих облікових записів соціальних мереж для ініціювання спам-кампаній, потенційно розширюючи охоплення зараження.

SeaDuke , також відомий як SeaDaddy та SeaDask, виділяється як кросплатформенний бекдор, призначений для роботи в системах Windows і Linux. Незважаючи на відносну простоту, SeaDuke служить базовим набором інструментів, орієнтованих на виконання інфільтрованих файлів для поширення інфекції.

HammerDuke , відомий по черзі як HAMMERTOSS і Netduke, постає як простий бекдор. Його помітне використання було помічено виключно як вторинний бекдор, який виникає після зараження CozyDuke.

CloudDuke, також відомий як CloudLook і MiniDionis, представлений у двох бекдор-версіях. Це зловмисне програмне забезпечення містить функції завантажувача та завантажувача, головним чином спрямовані на отримання та встановлення корисних даних із заздалегідь визначених місць, будь то з Інтернету чи облікового запису Microsoft OneDrive.

Важливо підкреслити, що перспектива актора The Dukes APT представити нові набори інструментів для зловмисного програмного забезпечення залишається значною, якщо їх діяльність не буде припинено. Характер їх діяльності свідчить про постійний потенціал для інновацій у їхніх стратегіях і техніках.