杜克恶意软件
Duke 是一个总体术语,表示APT29 APT(高级持续威胁)攻击者部署的恶意软件工具集的集合。该攻击者有多个别名,例如 The Dukes、Cloaked Ursa、CozyBear、Nobelium 和 UNC2452,其活动范围是网络入侵领域。 APT29 隶属于俄罗斯联邦对外情报局 (SVR RF),这意味着它是由俄罗斯国家资助的。该组织的追求植根于政治和地缘政治动机,重点关注情报收集和网络间谍领域。
在 Duke 恶意软件家族的保护下,存在着一系列广泛的威胁软件,包括系统后门、加载程序、信息窃取程序、进程破坏程序等各种类型。
最近一次与 The Dukes 组织相关的攻击活动发生在 2023 年。该活动涉及传播恶意 PDF 文档,这些文档伪装成来自德国大使馆的外交邀请。值得注意的是,这次电子邮件活动针对的是与北约结盟的国家的外交部,强调了该组织的战略目标和潜在的地缘政治影响。
网络犯罪分子制造了专门的 Duke 恶意软件威胁
被称为 The Dukes 的 APT 攻击者至少自 2008 年以来一直保持其运营状态,在这些年中展示了广泛的工具。下面按时间顺序概述了该特定威胁行为者所使用的一些更重要的工具集。
PinchDuke :该工具包具有一系列加载程序,旨在将其他威胁元素或程序引入受感染的系统中。它包含一个用于渗透的文件抓取器和一个凭证窃取器。后者针对各种数据源,包括 Microsoft Authenticator (passport.net)、电子邮件客户端(Mail.ru、Mozilla Thunderbird、Outlook、The Bat!、Yahoo Mail)、浏览器(Internet Explorer、Mozilla Firefox、Netscape Navigator)和消息传递服务(Google Talk)等。
GeminiDuke :凭借其加载程序功能和多种确保持久性的机制,GeminiDuke 还拥有数据窃取器的功能,主要专注于收集设备配置数据。这些信息包括用户帐户、安装的驱动程序和软件、正在运行的进程、启动程序和服务、网络设置、特定文件夹和文件以及最近访问的程序和文件。
宇宙公爵 (也被称为 BotgenStudios、NemesisGemina 和 Tinybaron): CosmicDuke 由多个加载程序、一系列确保持久性的组件和一个用于权限升级的模块组成,主要围绕其信息窃取功能。它可以泄露具有特定扩展名的文件、导出加密证书(包括私钥)、捕获屏幕截图、记录击键(键盘记录)、从浏览器、电子邮件客户端和即时通讯程序检索登录凭据,以及从剪贴板收集内容(复制- 粘贴缓冲区)。
MiniDuke :该恶意软件有多种版本,包含加载程序、下载程序和后门功能。 MiniDuke 主要用于为后续感染准备系统或促进此类感染的进展。
Duke 恶意软件家族不断扩大
研究人员已成功识别出更多属于 Duke 恶意软件家族的威胁,并被用作 APT29 恶意软件库的一部分。
CozyDuke也称为 Cozer、CozyBear、CozyCar 和 EuroAPT,主要用作后门。其核心目的是为后续感染(尤其是其自己的模块)建立一个入口点(通常称为“后门”)。为了实现这一目标,它采用了一个滴管以及多个旨在确保持久性的模块。
其组件包括专门用于提取系统数据、执行基本 Cmd.exe 命令、捕获屏幕截图和窃取登录凭据的组件。值得注意的是,CozyDuke 还具有渗透和执行其他文件的能力,这意味着有可能促进广泛的恶意软件感染。
OnionDuke将自己呈现为具有多种可能配置的模块化恶意软件。该程序配备了加载程序和释放程序功能,引入了一系列信息窃取模块,包括那些专注于收集密码和其他敏感数据的模块。此外,它还具有一个旨在发起分布式拒绝服务 (DDoS) 攻击的组件。另一个模块旨在利用受损的社交网络帐户发起垃圾邮件活动,从而可能扩大感染范围。
SeaDuke也称为 SeaDaddy 和 SeaDask,是一款设计用于在 Windows 和 Linux 系统上运行的跨平台后门。尽管 SeaDuke 相对简单,但它是一个基本工具集,主要用于执行渗透文件来传播感染。
HammerDuke (也称为 HAMMERTOSS 和 Netduke)是一个简单的后门。它的明显用途被专门指出为 CozyDuke 感染后的次要后门。
CloudDuke也被称为CloudLook和MiniDionis,存在两个后门版本。该恶意软件包含下载程序和加载程序功能,主要针对从预定义位置(无论是从互联网还是 Microsoft OneDrive 帐户)获取和安装有效负载。
需要强调的是,The Dukes APT 攻击者引入新恶意软件工具集的前景仍然相当大,除非他们的行动停止。他们活动的性质表明他们的战略和技术具有持续创新的潜力。
