Duke Malware composto da diversi set di strumenti dannosi

"Duke" è il termine generico per i set di software dannosi impiegati dall'attore APT29 Advanced Persistent Threat (APT), riconosciuto anche come The Dukes, Cloaked Ursa, CozyBear, Nobelium e UNC2452. APT29 è un gruppo sponsorizzato dallo stato russo affiliato al Foreign Intelligence Service della Federazione Russa. Il gruppo è guidato da motivi politici e geopolitici, concentrandosi principalmente sulla raccolta di informazioni e attività di spionaggio informatico.

La raccolta di malware Duke comprende una vasta gamma di software dannosi, che vanno da backdoor e caricatori di sistema a strumenti di estrazione dei dati e interruzioni dei processi.

La più recente campagna di spam associata al gruppo The Dukes si è verificata nel 2023 e ha comportato la distribuzione di documenti PDF dannosi camuffati da inviti diplomatici dell'ambasciata tedesca. Questa campagna di posta elettronica ha preso di mira i ministeri degli Affari esteri dei paesi allineati con la NATO.

L'attore APT noto come The Dukes è attivo almeno dal 2008, mostrando un vasto assortimento di strumenti nel corso degli anni. Di seguito è riportato un elenco cronologico di alcuni dei set di strumenti più importanti utilizzati da questo autore di minacce.

Il vario Toolkit di Duke

PinchDuke comprende una serie di caricatori progettati per infiltrarsi in componenti o programmi dannosi aggiuntivi in sistemi compromessi. Comprende anche un grabber di esfiltrazione di file e un ladro di credenziali. Quest'ultimo si rivolge specificamente ai dati relativi a Microsoft Authenticator (passport.net), client di posta elettronica (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), browser (Internet Explorer, Mozilla Firefox, Netscape Navigator), servizi di messaggistica ( Google Talk) e altro ancora.

GeminiDuke incorpora funzionalità di caricamento insieme a più meccanismi per garantire la persistenza. Dispone inoltre di funzionalità stealer utilizzate principalmente per la raccolta di dati di configurazione del dispositivo. Le informazioni di interesse comprendono account utente, driver e software installati, processi in esecuzione, programmi e servizi avviati durante l'avvio, impostazioni di rete, presenza di cartelle e file specifici, programmi eseguiti di recente, cartelle e file aperti e altro ancora.

CosmicDuke (noto anche come BotgenStudios, NemesisGemina, Tinybaron) è costituito da diversi caricatori, vari componenti per la persistenza e un modulo di escalation dei privilegi. La maggior parte di questo malware funziona come un ladro di informazioni, con capacità di esfiltrare file con particolari estensioni, esportare certificati crittografici (comprese le chiavi private), acquisire schermate, registrare sequenze di tasti (keylogging), estrarre credenziali di accesso (da browser, client di posta, messenger) e recuperare il contenuto degli appunti.

MiniDuke , disponibile in più varianti, tra cui un caricatore, un downloader e una backdoor, prepara principalmente un sistema per ulteriori infezioni o facilita il processo.

CozyDuke (riconosciuto anche come Cozer, CozyBear, CozyCar, EuroAPT) funziona principalmente come backdoor che crea un percorso per ulteriori infezioni, in particolare i propri moduli. Per raggiungere questo obiettivo, impiega un contagocce e più moduli per sostenere la persistenza.

Altri componenti includono quelli per l'estrazione dei dati di sistema, l'esecuzione dei comandi Cmd.exe di base, l'acquisizione di schermate e il furto delle credenziali di accesso. Tuttavia, CozyDuke ha anche la capacità di infiltrarsi ed eseguire altri file, facilitando così potenzialmente varie forme di infezione da malware.

OnionDuke è un malware modulare che offre numerose configurazioni potenziali, con funzionalità di caricamento e dropper. Il programma comprende vari moduli per il furto di informazioni, inclusi quelli progettati per il recupero di password e dati. Inoltre, integra un modulo per lanciare attacchi DDoS (Distributed Denial-of-Service) e un altro per sfruttare gli account di social network compromessi nelle campagne di spam (potenzialmente per espandere l'infezione).

SeaDuke (noto anche come SeaDaddy, SeaDask) è una backdoor multipiattaforma (Windows e Linux). Funzionando come un set di strumenti relativamente semplice, il suo obiettivo principale è eseguire file infiltrati, facendo avanzare così il processo di infezione.