A rosszindulatú eszközök különféle készletéből álló Duke malware

A "Duke" az APT29 Advanced Persistent Threat (APT) szereplője által használt rosszindulatú szoftverek általános kifejezése, amely a The Dukes, a Cloaked Ursa, a CozyBear, a Nobelium és az UNC2452 néven is ismert. Az APT29 egy orosz államilag támogatott csoport, amely kapcsolatban áll az Orosz Föderáció Külföldi Hírszerző Szolgálatával. A csoportot politikai és geopolitikai indítékok vezérlik, elsősorban a hírszerzésre és a kiberkémkedésre összpontosítanak.

A Duke rosszindulatú szoftverek gyűjteménye a rosszindulatú szoftverek széles skáláját öleli fel, a rendszer hátsó ajtóitól és betöltőitől az adatkinyerési eszközökig és a folyamatzavarókig.

A The Dukes csoporttal kapcsolatos legutóbbi spamkampány 2023-ban történt, és a német nagykövetség diplomáciai meghívásaként álcázott káros PDF-dokumentumok terjesztését jelentette. Ez az e-mail kampány a NATO-hoz csatlakozott országok külügyminisztériumait célozta meg.

A The Dukes néven ismert APT színész legalább 2008 óta aktív, és az évek során sokféle eszközt mutatott be. Az alábbiakban kronologikus listát talál a fenyegetést jelentő szereplő által használt néhány kiemelkedőbb eszközkészletről.

Duke's Diverse Toolkit

A PinchDuke egy sor betöltőt tartalmaz, amelyek további rosszindulatú összetevők vagy programok beszivárgására szolgálnak a feltört rendszerekbe. Tartalmaz egy fájlkiszűrőt és egy hitelesítő adatlopót is. Ez utóbbi kifejezetten a Microsoft Authenticatorhoz (passport.net), az e-mail kliensekhez (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), a böngészőkhöz (Internet Explorer, Mozilla Firefox, Netscape Navigator), az üzenetküldő szolgáltatásokhoz () kapcsolódó adatokat célozza meg. Google Talk) és még sok más.

A GeminiDuke betöltő képességeket és többféle mechanizmust tartalmaz a tartósság biztosítása érdekében. Tartalmaz továbbá ellopó funkciókat is, amelyeket elsősorban az eszközkonfigurációs adatok gyűjtésére használnak. Az érdeklődésre számot tartó információk magukban foglalják a felhasználói fiókokat, a telepített illesztőprogramokat és szoftvereket, a futó folyamatokat, az indításkor elindított programokat és szolgáltatásokat, a hálózati beállításokat, az adott mappák és fájlok jelenlétét, a közelmúltban végrehajtott programokat, megnyitott mappákat és fájlokat stb.

A CosmicDuke (más néven BotgenStudios, NemesisGemina, Tinybaron) több betöltőből, a kitartást biztosító különféle összetevőkből és egy privilégium-eszkalációs modulból áll. Ennek a rosszindulatú programnak a nagy része információlopóként működik, képes kiszűrni bizonyos kiterjesztésű fájlokat, kriptográfiai tanúsítványokat exportálni (beleértve a privát kulcsokat), képernyőképeket rögzíteni, billentyűleütéseket rögzíteni (billentyűnaplózás), bejelentkezési hitelesítő adatokat kinyerni (böngészőből, e-mail kliensekből, messengers), és lekérheti a vágólap tartalmát.

A több változatban elérhető MiniDuke , beleértve a betöltőt, a letöltőt és a hátsó ajtót, elsősorban a rendszert készíti fel a további fertőzésre, vagy megkönnyíti a folyamatot.

A CozyDuke (más néven Cozer, CozyBear, CozyCar, EuroAPT) elsősorban hátsó ajtóként funkcionál, amely utat teremt a további fertőzésekhez, különösen a saját moduljaihoz. Ennek eléréséhez egy cseppentőt és több modult alkalmaz a kitartás fenntartásához.

Az egyéb összetevők közé tartoznak a rendszeradatok kinyerésére, az alapvető Cmd.exe parancsok végrehajtására, a képernyőképek rögzítésére és a bejelentkezési adatok ellopására szolgáló elemek. A CozyDuke azonban képes más fájlok beszivárgására és végrehajtására is, ezáltal potenciálisan elősegíti a rosszindulatú programok fertőzésének különféle formáit.

Az OnionDuke egy moduláris kártevő, amely számos lehetséges konfigurációt kínál, betöltő és dropper képességekkel. A program különféle információlopó modulokat foglal magában, beleértve azokat is, amelyeket jelszó- és adatlekérésre terveztek. Ezenkívül integrál egy modult az elosztott szolgáltatásmegtagadási (DDoS) támadások indítására, valamint egy másik modult a feltört közösségi hálózatok fiókjainak spamkampányokban való kihasználására (potenciálisan a fertőzés kiterjesztésére).

A SeaDuke (más néven SeaDaddy, SeaDask) egy többplatformos (Windows és Linux) hátsó ajtó. Viszonylag egyszerű eszközkészletként működik, fő célja a beszivárgott fájlok végrehajtása, ezáltal elősegítve a fertőzési folyamatot.