杜克惡意軟件
Duke 是一個總體術語,表示APT29 APT(高級持續威脅)攻擊者部署的惡意軟件工具集的集合。該攻擊者有多個別名,例如 The Dukes、Cloaked Ursa、CozyBear、Nobelium 和 UNC2452,其活動範圍是網絡入侵領域。 APT29 隸屬於俄羅斯聯邦對外情報局 (SVR RF),這意味著它是由俄羅斯國家資助的。該組織的追求植根於政治和地緣政治動機,重點關注情報收集和網絡間諜領域。
在 Duke 惡意軟件家族的保護下,存在著一系列廣泛的威脅軟件,包括系統後門、加載程序、信息竊取程序、進程破壞程序等各種類型。
最近一次與 The Dukes 組織相關的攻擊活動發生在 2023 年。該活動涉及傳播惡意 PDF 文檔,這些文檔偽裝成來自德國大使館的外交邀請。值得注意的是,這次電子郵件活動針對的是與北約結盟的國家的外交部,強調了該組織的戰略目標和潛在的地緣政治影響。
網絡犯罪分子製造了專門的 Duke 惡意軟件威脅
被稱為 The Dukes 的 APT 攻擊者至少自 2008 年以來一直保持其運營狀態,在這些年中展示了廣泛的工具。下面按時間順序概述了該特定威脅行為者所使用的一些更重要的工具集。
PinchDuke :該工具包具有一系列加載程序,旨在將其他威脅元素或程序引入受感染的系統中。它包含一個用於滲透的文件抓取器和一個憑證竊取器。後者針對各種數據源,包括Microsoft Authenticator (passport.net)、電子郵件客戶端(Mail.ru、Mozilla Thunderbird、Outlook、The Bat!、Yahoo Mail)、瀏覽器(Internet Explorer、Mozilla Firefox、Netscape Navigator )和消息傳遞服務(Google Talk)等。
GeminiDuke :憑藉其加載程序功能和多種確保持久性的機制,GeminiDuke 還擁有數據竊取器的功能,主要專注於收集設備配置數據。這些信息包括用戶帳戶、安裝的驅動程序和軟件、正在運行的進程、啟動程序和服務、網絡設置、特定文件夾和文件以及最近訪問的程序和文件。
宇宙公爵 (也被稱為 BotgenStudios、NemesisGemina 和 Tinybaron): CosmicDuke 由多個加載程序、一系列確保持久性的組件和一個用於權限升級的模塊組成,主要圍繞其信息竊取功能。它可以洩露具有特定擴展名的文件、導出加密證書(包括私鑰)、捕獲屏幕截圖、記錄擊鍵(鍵盤記錄)、從瀏覽器、電子郵件客戶端和即時通訊程序檢索登錄憑據,以及從剪貼板收集內容(複製- 粘貼緩衝區)。
MiniDuke :該惡意軟件有多種版本,包含加載程序、下載程序和後門功能。 MiniDuke 主要用於為後續感染準備系統或促進此類感染的進展。
Duke 惡意軟件家族不斷擴大
研究人員已成功識別出更多屬於 Duke 惡意軟件家族的威脅,並被用作 APT29 惡意軟件庫的一部分。
CozyDuke也稱為 Cozer、CozyBear、CozyCar 和 EuroAPT,主要用作後門。其核心目的是為後續感染(尤其是其自己的模塊)建立一個入口點(通常稱為“後門”)。為了實現這一目標,它採用了一個滴管以及多個旨在確保持久性的模塊。
其組件包括專門用於提取系統數據、執行基本 Cmd.exe 命令、捕獲屏幕截圖和竊取登錄憑據的組件。值得注意的是,CozyDuke 還具有滲透和執行其他文件的能力,這意味著有可能促進廣泛的惡意軟件感染。
OnionDuke將自己呈現為具有多種可能配置的模塊化惡意軟件。該程序配備了加載程序和釋放程序功能,引入了一系列信息竊取模塊,包括那些專注於收集密碼和其他敏感數據的模塊。此外,它還具有一個旨在發起分佈式拒絕服務 (DDoS) 攻擊的組件。另一個模塊旨在利用受損的社交網絡帳戶發起垃圾郵件活動,從而可能擴大感染範圍。
SeaDuke也稱為 SeaDaddy 和 SeaDask,是一款設計用於在 Windows 和 Linux 系統上運行的跨平台後門。儘管 SeaDuke 相對簡單,但它是一個基本工具集,主要用於執行滲透文件來傳播感染。
HammerDuke (也稱為 HAMMERTOSS 和 Netduke)是一個簡單的後門。它的明顯用途被專門指出為 CozyDuke 感染後的次要後門。
CloudDuke也被稱為CloudLook和MiniDionis,存在兩個後門版本。該惡意軟件包含下載程序和加載程序功能,主要針對從預定義位置(無論是從互聯網還是 Microsoft OneDrive 帳戶)獲取和安裝有效負載。
需要強調的是,The Dukes APT 攻擊者引入新惡意軟件工具集的前景仍然相當大,除非他們的行動停止。他們活動的性質表明他們的戰略和技術具有持續創新的潛力。
