Duke Malware Αποτελούμενο από διάφορα σετ κακόβουλων εργαλείων

Το "Duke" χρησιμεύει ως ο γενικός όρος για σύνολα κακόβουλου λογισμικού που χρησιμοποιείται από τον ηθοποιό του APT29 Advanced Persistent Threat (APT), που αναγνωρίζεται επίσης ως The Dukes, Cloaked Ursa, CozyBear, Nobelium και UNC2452. Η APT29 είναι μια ρωσική κρατική ομάδα που συνδέεται με την Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσικής Ομοσπονδίας. Η ομάδα καθοδηγείται από πολιτικά και γεωπολιτικά κίνητρα, εστιάζοντας κυρίως στη συλλογή πληροφοριών και σε δραστηριότητες κυβερνοκατασκοπείας.

Η συλλογή κακόβουλου λογισμικού Duke περιλαμβάνει μια εκτεταμένη σειρά κακόβουλου λογισμικού, που κυμαίνεται από κερκόπορτες συστήματος και φορτωτές έως εργαλεία εξαγωγής δεδομένων και διαταράκτες διαδικασιών.

Η πιο πρόσφατη εκστρατεία ανεπιθύμητης αλληλογραφίας που σχετίζεται με τον όμιλο The Dukes έλαβε χώρα το 2023 και περιλάμβανε τη διανομή επιβλαβών εγγράφων PDF καμουφλαρισμένων ως διπλωματικών προσκλήσεων από τη γερμανική πρεσβεία. Αυτή η εκστρατεία ηλεκτρονικού ταχυδρομείου στόχευε τα υπουργεία Εξωτερικών των χωρών που ευθυγραμμίζονται με το ΝΑΤΟ.

Ο ηθοποιός του APT, γνωστός ως The Dukes, δραστηριοποιείται τουλάχιστον από το 2008, παρουσιάζοντας μια μεγάλη ποικιλία εργαλείων όλα αυτά τα χρόνια. Παρακάτω είναι μια χρονολογική λίστα με μερικά από τα πιο σημαντικά σύνολα εργαλείων που χρησιμοποιούνται από αυτόν τον παράγοντα απειλών.

Duke's Diverse Toolkit

Το PinchDuke περιλαμβάνει μια σειρά φορτωτών που έχουν σχεδιαστεί για να διεισδύουν πρόσθετα κακόβουλα στοιχεία ή προγράμματα σε παραβιασμένα συστήματα. Περιλαμβάνει, επίσης, έναν αρπαγή από διήθηση αρχείων και έναν κλέφτη διαπιστευτηρίων. Το τελευταίο στοχεύει συγκεκριμένα δεδομένα που σχετίζονται με Microsoft Authenticator (passport.net), προγράμματα-πελάτες email (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), προγράμματα περιήγησης (Internet Explorer, Mozilla Firefox, Netscape Navigator), υπηρεσίες ανταλλαγής μηνυμάτων ( Google Talk) και πολλά άλλα.

Το GeminiDuke ενσωματώνει δυνατότητες loader μαζί με πολλούς μηχανισμούς για να διασφαλίσει την ανθεκτικότητα. Διαθέτει επίσης λειτουργίες κλοπής που χρησιμοποιούνται κυρίως για τη συλλογή δεδομένων διαμόρφωσης συσκευής. Οι πληροφορίες ενδιαφέροντος περιλαμβάνουν λογαριασμούς χρηστών, εγκατεστημένα προγράμματα οδήγησης και λογισμικό, διεργασίες που εκτελούνται, προγράμματα και υπηρεσίες που εκκινήθηκαν κατά την εκκίνηση, ρυθμίσεις δικτύου, συγκεκριμένους φακέλους και παρουσία αρχείων, πρόσφατα εκτελεσμένα προγράμματα, ανοιχτούς φακέλους και αρχεία και άλλα.

Το CosmicDuke (γνωστό και ως BotgenStudios, NemesisGemina, Tinybaron) αποτελείται από πολλούς φορτωτές, διάφορα εξαρτήματα για επιμονή και μια μονάδα κλιμάκωσης προνομίων. Το μεγαλύτερο μέρος αυτού του κακόβουλου λογισμικού λειτουργεί ως υποκλοπής πληροφοριών, με δυνατότητες εξαγωγής αρχείων με συγκεκριμένες επεκτάσεις, εξαγωγής κρυπτογραφικών πιστοποιητικών (συμπεριλαμβανομένων ιδιωτικών κλειδιών), λήψης στιγμιότυπων οθόνης, εγγραφής πληκτρολογήσεων (keylogging), εξαγωγής διαπιστευτηρίων σύνδεσης (από προγράμματα περιήγησης, προγράμματα-πελάτες email, messengers) και ανακτήστε τα περιεχόμενα του προχείρου.

Το MiniDuke , διαθέσιμο σε πολλές παραλλαγές, συμπεριλαμβανομένου ενός loader, του downloader και του backdoor, προετοιμάζει κυρίως ένα σύστημα για περαιτέρω μόλυνση ή διευκολύνει τη διαδικασία.

Το CozyDuke (επίσης αναγνωρισμένο ως Cozer, CozyBear, CozyCar, EuroAPT) λειτουργεί κυρίως ως backdoor που δημιουργεί ένα μονοπάτι για πρόσθετες μολύνσεις, ιδιαίτερα τις δικές του μονάδες. Για να το πετύχει αυτό, χρησιμοποιεί ένα σταγονόμετρο και πολλαπλές μονάδες για διατήρηση της επιμονής.

Άλλα στοιχεία περιλαμβάνουν αυτά για την εξαγωγή δεδομένων συστήματος, την εκτέλεση βασικών εντολών Cmd.exe, τη λήψη στιγμιότυπων οθόνης και την κλοπή διαπιστευτηρίων σύνδεσης. Ωστόσο, το CozyDuke έχει επίσης την ικανότητα να διεισδύει και να εκτελεί άλλα αρχεία, διευκολύνοντας έτσι ενδεχομένως διάφορες μορφές μόλυνσης από κακόβουλο λογισμικό.

Το OnionDuke είναι αρθρωτό κακόβουλο λογισμικό που προσφέρει πολλές πιθανές διαμορφώσεις, με δυνατότητες φόρτωσης και σταγονόμετρου. Το πρόγραμμα περιλαμβάνει διάφορες ενότητες κλοπής πληροφοριών, συμπεριλαμβανομένων εκείνων που έχουν σχεδιαστεί για ανάκτηση κωδικού πρόσβασης και δεδομένων. Επιπλέον, ενσωματώνει μια ενότητα για την εκτόξευση επιθέσεων Distributed Denial-of-Service (DDoS) και μια άλλη για τη μόχλευση παραβιασμένων λογαριασμών κοινωνικής δικτύωσης σε καμπάνιες ανεπιθύμητης αλληλογραφίας (δυνητικά για επέκταση της μόλυνσης).

Το SeaDuke (γνωστό και ως SeaDaddy, SeaDask) είναι μια κερκόπορτα πολλαπλών πλατφορμών (Windows και Linux). Λειτουργώντας ως ένα σχετικά απλό σύνολο εργαλείων, ο κύριος στόχος του είναι να εκτελεί διεισδυμένα αρχεία, προωθώντας έτσι τη διαδικασία μόλυνσης.