Duke Malware består af forskellige sæt ondsindede værktøjer

"Duke" tjener som den generelle betegnelse for sæt af ondsindet software, der anvendes af APT29 Advanced Persistent Threat (APT) skuespilleren, også anerkendt som The Dukes, Cloaked Ursa, CozyBear, Nobelium og UNC2452. APT29 er en russisk statssponsoreret gruppe tilknyttet Den Russiske Føderations udenlandske efterretningstjeneste. Gruppen er drevet af politiske og geopolitiske motiver, primært med fokus på efterretningsindsamling og cyberspionageaktiviteter.

Duke malware-indsamlingen omfatter en omfattende række af ondsindet software, lige fra systembagdøre og indlæsere til dataekstraktionsværktøjer og procesforstyrrende midler.

Den seneste spamkampagne i forbindelse med The Dukes-gruppen fandt sted i 2023 og involverede distribution af skadelige PDF-dokumenter kamufleret som diplomatiske invitationer fra den tyske ambassade. Denne e-mail-kampagne var rettet mod udenrigsministerierne i lande, der er tilsluttet NATO.

APT-skuespilleren kendt som The Dukes har været aktiv siden mindst 2008 og har vist et mangfoldigt udvalg af værktøjer gennem årene. Nedenfor er en kronologisk liste over nogle af de mere fremtrædende værktøjssæt, som denne trusselsaktør bruger.

Duke's Diverse Toolkit

PinchDuke omfatter en række loadere designet til at infiltrere yderligere ondsindede komponenter eller programmer ind i kompromitterede systemer. Det omfatter også en fileksfiltreringsgrabber og en legitimationstyver. Sidstnævnte er specifikt rettet mod data relateret til Microsoft Authenticator (passport.net), e-mail-klienter (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), browsere (Internet Explorer, Mozilla Firefox, Netscape Navigator), meddelelsestjenester ( Google Talk) og mere.

GeminiDuke inkorporerer læssefunktioner sammen med flere mekanismer for at sikre vedholdenhed. Den har også tyverifunktioner, der primært bruges til indsamling af enhedskonfigurationsdata. Oplysninger af interesse omfatter brugerkonti, installerede drivere og software, kørende processer, programmer og tjenester lanceret under opstart, netværksindstillinger, specifik mappe og filtilstedeværelse, nyligt udførte programmer, åbnede mapper og filer og mere.

CosmicDuke (også kendt som BotgenStudios, NemesisGemina, Tinybaron) består af flere loadere, forskellige komponenter til vedholdenhed og et privilegie-eskaleringsmodul. Størstedelen af denne malware fungerer som en informationstjæler med kapacitet til at eksfiltrere filer med bestemte udvidelser, eksportere kryptografiske certifikater (inklusive private nøgler), fange skærmbilleder, registrere tastetryk (tastelogging), udtrække loginoplysninger (fra browsere, e-mail-klienter, messengers), og hent udklipsholderens indhold.

MiniDuke , tilgængelig i flere varianter, inklusive en loader, downloader og bagdør, forbereder primært et system til yderligere infektion eller letter processen.

CozyDuke (også anerkendt som Cozer, CozyBear, CozyCar, EuroAPT) fungerer primært som en bagdør, der skaber en vej for yderligere infektioner, især dets egne moduler. For at opnå dette bruger den en dråber og flere moduler til at opretholde vedholdenhed.

Andre komponenter omfatter dem til at udtrække systemdata, udføre grundlæggende Cmd.exe-kommandoer, tage skærmbilleder og stjæle login-legitimationsoplysninger. CozyDuke har dog også kapacitet til at infiltrere og eksekvere andre filer og derved potentielt lette forskellige former for malware-infektion.

OnionDuke er modulær malware, der tilbyder adskillige potentielle konfigurationer, med loader- og dropper-funktioner. Programmet omfatter forskellige informationstjælende moduler, inklusive dem, der er designet til adgangskode og datahentning. Derudover integrerer det et modul til at lancere Distributed Denial-of-Service (DDoS)-angreb og et andet til at udnytte kompromitterede sociale netværkskonti i spamkampagner (potentielt for at udvide infektionen).

SeaDuke (også kendt som SeaDaddy, SeaDask) er en bagdør på tværs af platforme (Windows og Linux). Det fungerer som et relativt ligetil værktøjssæt, og dets hovedformål er at udføre infiltrerede filer og derved fremme infektionsprocessen.