Duke-Malware besteht aus einer Reihe verschiedener bösartiger Tools

„Duke“ ist die allgemeine Bezeichnung für Schadsoftwaregruppen, die vom APT29 Advanced Persistent Threat (APT)-Akteur eingesetzt werden, auch bekannt als The Dukes, Cloaked Ursa, CozyBear, Nobelium und UNC2452. APT29 ist eine staatlich geförderte russische Gruppe, die dem Auslandsgeheimdienst der Russischen Föderation angeschlossen ist. Die Gruppe wird von politischen und geopolitischen Motiven angetrieben und konzentriert sich hauptsächlich auf die Sammlung von Informationen und Cyberspionageaktivitäten.

Die Duke-Malware-Sammlung umfasst eine umfangreiche Palette bösartiger Software, die von System-Hintertüren und Loadern bis hin zu Datenextraktionstools und Prozessstörern reicht.

Die jüngste Spam-Kampagne im Zusammenhang mit der Dukes-Gruppe fand im Jahr 2023 statt und beinhaltete die Verbreitung schädlicher PDF-Dokumente, die als diplomatische Einladungen der deutschen Botschaft getarnt waren. Diese E-Mail-Kampagne richtete sich an die Außenministerien der NATO-nahen Länder.

Der als The Dukes bekannte APT-Schauspieler ist seit mindestens 2008 aktiv und präsentiert im Laufe der Jahre eine vielfältige Auswahl an Werkzeugen. Nachfolgend finden Sie eine chronologische Liste einiger der bekanntesten Toolsets, die von diesem Bedrohungsakteur verwendet werden.

Dukes vielfältiges Toolkit

PinchDuke besteht aus einer Reihe von Loadern, die darauf ausgelegt sind, zusätzliche schädliche Komponenten oder Programme in kompromittierte Systeme einzuschleusen. Es umfasst außerdem einen File-Exfiltration-Grabber und einen Credential-Stealer. Letzteres zielt speziell auf Daten im Zusammenhang mit Microsoft Authenticator (passport.net), E-Mail-Clients (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), Browsern (Internet Explorer, Mozilla Firefox, Netscape Navigator) und Messaging-Diensten ( Google Talk) und mehr.

GeminiDuke umfasst Loader-Funktionen sowie mehrere Mechanismen, um die Persistenz sicherzustellen. Es verfügt außerdem über Stealer-Funktionen, die hauptsächlich für die Erfassung von Gerätekonfigurationsdaten verwendet werden. Zu den interessanten Informationen gehören Benutzerkonten, installierte Treiber und Software, laufende Prozesse, beim Start gestartete Programme und Dienste, Netzwerkeinstellungen, das Vorhandensein bestimmter Ordner und Dateien, kürzlich ausgeführte Programme, geöffnete Ordner und Dateien und mehr.

CosmicDuke (auch bekannt als BotgenStudios, NemesisGemina, Tinybaron) besteht aus mehreren Loadern, verschiedenen Komponenten für die Persistenz und einem Modul zur Rechteausweitung. Der Großteil dieser Schadsoftware fungiert als Informationsdiebstahler und bietet die Möglichkeit, Dateien mit bestimmten Erweiterungen zu exfiltrieren, kryptografische Zertifikate (einschließlich privater Schlüssel) zu exportieren, Screenshots zu erfassen, Tastenanschläge aufzuzeichnen (Keylogging), Anmeldeinformationen zu extrahieren (von Browsern, E-Mail-Clients usw.). Messenger) und den Inhalt der Zwischenablage abrufen.

MiniDuke ist in mehreren Varianten erhältlich, darunter ein Loader, ein Downloader und eine Backdoor. Es bereitet ein System in erster Linie auf eine weitere Infektion vor oder erleichtert den Prozess.

CozyDuke (auch bekannt als Cozer, CozyBear, CozyCar, EuroAPT) fungiert in erster Linie als Hintertür, die einen Weg für weitere Infektionen schafft, insbesondere für seine eigenen Module. Um dies zu erreichen, werden ein Dropper und mehrere Module zur Aufrechterhaltung der Persistenz eingesetzt.

Zu den weiteren Komponenten gehören Komponenten zum Extrahieren von Systemdaten, zum Ausführen grundlegender Cmd.exe-Befehle, zum Aufzeichnen von Screenshots und zum Stehlen von Anmeldeinformationen. Allerdings hat CozyDuke auch die Fähigkeit, andere Dateien zu infiltrieren und auszuführen, wodurch möglicherweise verschiedene Formen der Malware-Infektion erleichtert werden.

OnionDuke ist eine modulare Malware, die zahlreiche mögliche Konfigurationen bietet und über Loader- und Dropper-Funktionen verfügt. Das Programm umfasst verschiedene Module zum Informationsdiebstahl, darunter solche, die für den Passwort- und Datenabruf konzipiert sind. Darüber hinaus integriert es ein Modul zum Starten von DDoS-Angriffen (Distributed Denial-of-Service) und ein weiteres zum Ausnutzen kompromittierter Social-Networking-Konten in Spam-Kampagnen (möglicherweise zur Ausweitung der Infektion).

SeaDuke (auch bekannt als SeaDaddy, SeaDask) ist eine plattformübergreifende (Windows und Linux) Hintertür. Da es sich um ein relativ unkompliziertes Toolset handelt, besteht sein Hauptziel darin, infiltrierte Dateien auszuführen und so den Infektionsprozess voranzutreiben.