Phần mềm độc hại Duke
Duke là thuật ngữ bao quát biểu thị một tập hợp các bộ công cụ phần mềm độc hại được tác nhân APT29 APT (Advanced Persistent Threat) triển khai. Diễn viên này, được công nhận bởi nhiều bí danh như The Dukes, Cloaked Ursa, CozyBear, Nobelium và UNC2452, hoạt động trong lĩnh vực xâm nhập mạng. APT29 được liên kết với Cơ quan Tình báo Nước ngoài của Liên bang Nga (SVR RF), biểu thị nguồn gốc được nhà nước bảo trợ từ Nga. Mục tiêu theo đuổi của nhóm bắt nguồn từ các động cơ chính trị và địa chính trị, tập trung vào việc thu thập thông tin tình báo và lĩnh vực gián điệp mạng.
Dưới sự bảo trợ của họ phần mềm độc hại Duke là một loạt phần mềm đe dọa mở rộng, bao gồm nhiều loại khác nhau như cửa hậu hệ thống, trình tải, trình đánh cắp thông tin, trình gây rối loạn quy trình, v.v.
Ví dụ gần đây nhất về chiến dịch tấn công liên quan đến nhóm The Dukes diễn ra vào năm 2023. Chiến dịch này liên quan đến việc phổ biến các tài liệu PDF độc hại ngụy trang dưới dạng thư mời ngoại giao có nguồn gốc từ đại sứ quán Đức. Đáng chú ý, chiến dịch email này nhắm mục tiêu vào Bộ Ngoại giao của các quốc gia liên kết với NATO, nhấn mạnh mục tiêu chiến lược của nhóm và các tác động địa chính trị tiềm ẩn.
Tội phạm mạng đã tạo ra các mối đe dọa phần mềm độc hại Duke chuyên dụng
Diễn viên APT được biết đến với cái tên The Dukes đã duy trì sự hiện diện hoạt động của mình ít nhất là từ năm 2008, trưng bày nhiều loại công cụ trong suốt những năm này. Trình bày dưới đây là tổng quan theo trình tự thời gian của một số bộ công cụ nổi bật hơn được tác nhân đe dọa cụ thể này sử dụng.
PinchDuke : Bộ công cụ này có một tập hợp các trình tải được thiết kế để đưa các phần tử hoặc chương trình đe dọa bổ sung vào các hệ thống bị xâm nhập. Nó bao gồm một trình lấy tệp nhằm mục đích lọc và một trình đánh cắp thông tin xác thực. Loại thứ hai nhắm mục tiêu các nguồn dữ liệu khác nhau, bao gồm Microsoft Authenticator (passport.net), ứng dụng email (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), trình duyệt (Internet Explorer, Mozilla Firefox, Netscape Navigator) và nhắn tin dịch vụ (Google Talk), trong số những dịch vụ khác.
GeminiDuke : Với khả năng của trình tải và nhiều me chanism để đảm bảo tính bền bỉ, GeminiDuke cũng tự hào có các chức năng như một trình đánh cắp dữ liệu, chủ yếu tập trung vào việc thu thập dữ liệu cấu hình thiết bị. Thông tin này bao gồm tài khoản người dùng, trình điều khiển và phần mềm đã cài đặt, quy trình đang chạy, chương trình và dịch vụ khởi động, cài đặt mạng, thư mục và tệp cụ thể cũng như các chương trình và tệp được truy cập gần đây.
Vũ trụDuke (cũng được công nhận là BotgenStudios, NemesisGemina và Tinybaron): Bao gồm một số trình tải, một loạt các thành phần để đảm bảo tính bền bỉ và một mô-đun để leo thang đặc quyền, CosmicDuke chủ yếu xoay quanh khả năng đánh cắp thông tin của nó. Nó có thể trích xuất các tệp có phần mở rộng cụ thể, xuất chứng chỉ mật mã (bao gồm cả khóa riêng), chụp ảnh màn hình, ghi lại thao tác bàn phím (keylogging), truy xuất thông tin đăng nhập từ trình duyệt, ứng dụng email và trình nhắn tin, cũng như thu thập nội dung từ khay nhớ tạm (bản sao -dán bộ đệm).
MiniDuke : Phần mềm độc hại này có nhiều phiên bản khác nhau, bao gồm các chức năng của trình tải, trình tải xuống và cửa hậu. MiniDuke chủ yếu được sử dụng để chuẩn bị một hệ thống cho các lần lây nhiễm tiếp theo hoặc tạo điều kiện thuận lợi cho sự tiến triển của những lần lây nhiễm đó.
Gia đình phần mềm độc hại Duke tiếp tục mở rộng
Các nhà nghiên cứu đã quản lý để xác định thêm một số mối đe dọa thuộc họ phần mềm độc hại Duke và được sử dụng như một phần của kho vũ khí độc hại APT29.
CozyDuke , còn được gọi là Cozer, CozyBear, CozyCar và EuroAPT, hoạt động chủ yếu như một cửa hậu. Mục đích cốt lõi của nó là thiết lập một điểm vào, thường được gọi là 'cửa hậu', cho các lần lây nhiễm tiếp theo, đặc biệt là các mô-đun của chính nó. Để đạt được điều này, nó sử dụng một ống nhỏ giọt kết hợp với nhiều mô-đun được thiết kế để đảm bảo tính bền bỉ.
Trong số các thành phần của nó có những thành phần dành riêng cho việc trích xuất dữ liệu hệ thống, thực thi các lệnh Cmd.exe cơ bản, chụp ảnh màn hình và đánh cắp thông tin đăng nhập. Đáng chú ý, CozyDuke cũng sở hữu khả năng xâm nhập và thực thi các tệp khác, ngụ ý khả năng tạo điều kiện cho một loạt lây nhiễm phần mềm độc hại.
OnionDuke thể hiện mình là phần mềm độc hại mô-đun với một loạt các cấu hình có thể có. Được trang bị các khả năng của trình tải và trình nhỏ giọt, chương trình này giới thiệu một loạt các mô-đun đánh cắp thông tin, bao gồm cả những mô-đun tập trung vào việc thu thập mật khẩu và dữ liệu nhạy cảm khác. Ngoài ra, nó có một thành phần hướng đến việc khởi chạy các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Một mô-đun khác được tạo ra để khai thác các tài khoản mạng xã hội bị xâm phạm để bắt đầu các chiến dịch thư rác, có khả năng khuếch đại phạm vi lây nhiễm.
SeaDuke , còn được gọi là SeaDaddy và SeaDask, nổi bật như một cửa hậu đa nền tảng được thiết kế để hoạt động trên cả hệ thống Windows và Linux. Mặc dù tương đối đơn giản, SeaDuke đóng vai trò là một bộ công cụ cơ bản, chủ yếu hướng tới việc thực thi các tệp bị xâm nhập để truyền bá lây nhiễm.
HammerDuke , còn được gọi luân phiên là HAMMERTOSS và Netduke, nổi lên như một cửa hậu đơn giản. Cách sử dụng rõ ràng của nó đã được ghi nhận riêng như một cửa hậu thứ cấp sau khi nhiễm CozyDuke.
CloudDuke cũng được công nhận là CloudLook và MiniDionis, thể hiện ở hai phiên bản cửa hậu. Phần mềm độc hại này bao gồm các chức năng của trình tải xuống và trình tải, chủ yếu hướng đến việc tìm nạp và cài đặt tải trọng từ các vị trí được xác định trước, cho dù từ internet hay tài khoản Microsoft OneDrive.
Điều quan trọng cần nhấn mạnh là triển vọng diễn viên The Dukes APT giới thiệu bộ công cụ phần mềm độc hại mới vẫn còn đáng kể trừ khi hoạt động của họ dừng lại. Bản chất các hoạt động của họ cho thấy tiềm năng đổi mới bền vững trong các chiến lược và kỹ thuật của họ.
