Duke Malware composé d'un ensemble varié d'outils malveillants

trojan horse malware

"Duke" est le terme général pour les ensembles de logiciels malveillants employés par l'acteur APT29 Advanced Persistent Threat (APT), également connu sous le nom de The Dukes, Cloaked Ursa, CozyBear, Nobelium et UNC2452. APT29 est un groupe parrainé par l'État russe affilié au service de renseignement extérieur de la Fédération de Russie. Le groupe est motivé par des motivations politiques et géopolitiques, se concentrant principalement sur la collecte de renseignements et les activités de cyberespionnage.

La collection de logiciels malveillants Duke comprend une vaste gamme de logiciels malveillants, allant des portes dérobées et des chargeurs de système aux outils d'extraction de données et aux perturbateurs de processus.

La plus récente campagne de spam associée au groupe The Dukes a eu lieu en 2023 et impliquait la distribution de documents PDF nuisibles camouflés en invitations diplomatiques de l'ambassade d'Allemagne. Cette campagne d'e-mails ciblait les ministères des Affaires étrangères des pays alignés sur l'OTAN.

L'acteur APT connu sous le nom de The Dukes est actif depuis au moins 2008, présentant un assortiment diversifié d'outils au fil des ans. Vous trouverez ci-dessous une liste chronologique de certains des outils les plus importants utilisés par cet acteur menaçant.

Boîte à outils diversifiée de Duke

PinchDuke comprend une série de chargeurs conçus pour infiltrer des composants ou des programmes malveillants supplémentaires dans des systèmes compromis. Il comprend également un outil d'extraction d'exfiltration de fichiers et un voleur d'informations d'identification. Ce dernier cible spécifiquement les données liées à Microsoft Authenticator (passport.net), aux clients de messagerie (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), aux navigateurs (Internet Explorer, Mozilla Firefox, Netscape Navigator), aux services de messagerie ( Google Talk), et plus encore.

GeminiDuke intègre des capacités de chargeur ainsi que de multiples mécanismes pour assurer la persistance. Il comporte également des fonctionnalités de voleur principalement utilisées pour la collecte de données de configuration de périphérique. Les informations d'intérêt englobent les comptes d'utilisateurs, les pilotes et logiciels installés, les processus en cours d'exécution, les programmes et services lancés au démarrage, les paramètres réseau, la présence de dossiers et de fichiers spécifiques, les programmes récemment exécutés, les dossiers et fichiers ouverts, etc.

CosmicDuke (également connu sous le nom de BotgenStudios, NemesisGemina, Tinybaron) se compose de plusieurs chargeurs, de divers composants pour la persistance et d'un module d'escalade de privilèges. La majeure partie de ce malware fonctionne comme un voleur d'informations, avec des capacités pour exfiltrer des fichiers avec des extensions particulières, exporter des certificats cryptographiques (y compris des clés privées), capturer des captures d'écran, enregistrer des frappes au clavier (keylogging), extraire des identifiants de connexion (à partir de navigateurs, de clients de messagerie, messengers) et récupérer le contenu du presse-papiers.

MiniDuke , disponible en plusieurs variantes, y compris un chargeur, un téléchargeur et une porte dérobée, prépare principalement un système pour une infection ultérieure ou facilite le processus.

CozyDuke (également connu sous le nom de Cozer, CozyBear, CozyCar, EuroAPT) fonctionne principalement comme une porte dérobée qui crée une voie pour des infections supplémentaires, en particulier ses propres modules. Pour y parvenir, il utilise un compte-gouttes et plusieurs modules pour maintenir la persistance.

Les autres composants incluent ceux permettant d'extraire les données système, d'exécuter les commandes Cmd.exe de base, de capturer des captures d'écran et de voler les identifiants de connexion. Cependant, CozyDuke a également la capacité d'infiltrer et d'exécuter d'autres fichiers, facilitant ainsi potentiellement diverses formes d'infection par des logiciels malveillants.

OnionDuke est un logiciel malveillant modulaire offrant de nombreuses configurations potentielles, avec des capacités de chargeur et de dropper. Le programme comprend divers modules de vol d'informations, y compris ceux conçus pour la récupération de mots de passe et de données. De plus, il intègre un module pour lancer des attaques par déni de service distribué (DDoS) et un autre pour tirer parti des comptes de réseaux sociaux compromis dans des campagnes de spam (potentiellement pour étendre l'infection).

SeaDuke (également connu sous le nom de SeaDaddy, SeaDask) est une porte dérobée multiplateforme (Windows et Linux). Fonctionnant comme un ensemble d'outils relativement simples, son objectif principal est d'exécuter des fichiers infiltrés, faisant ainsi avancer le processus d'infection.

Par Zaib
August 18, 2023
Malware
Français
August 18, 2023
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.