Duke マルウェアは悪意のあるツールの多様なセットで構成されています
「Duke」は、APT29 Advanced Persistent Threat (APT) アクターによって使用される一連の悪意のあるソフトウェアの総称として機能し、The Dukes、Cloaked Ursa、CozyBear、Nobelium、UNC2452 としても認識されます。 APT29 は、ロシア連邦対外情報局に所属するロシア国家支援のグループです。このグループは政治的および地政学的な動機によって動かされており、主に情報収集とサイバースパイ活動に焦点を当てています。
Duke マルウェア コレクションには、システムのバックドアやローダーからデータ抽出ツールやプロセス破壊者に至るまで、広範囲にわたる悪意のあるソフトウェアが含まれています。
The Dukes グループに関連した最新のスパム キャンペーンは 2023 年に発生し、ドイツ大使館からの外交招待状を装った有害な PDF 文書の配布が含まれていました。この電子メールキャンペーンは、NATO と同盟関係にある国の外務省をターゲットにしました。
The Dukes として知られる APT アクターは、少なくとも 2008 年から活動しており、長年にわたってさまざまなツールを紹介しています。以下は、この脅威アクターが利用する最も著名なツールセットのいくつかを時系列に並べたリストです。
Duke の多様なツールキット
PinchDuke は、追加の悪意のあるコンポーネントやプログラムを侵害されたシステムに侵入させるように設計された一連のローダーで構成されています。これには、ファイル抽出グラバーと資格情報スティーラーも含まれます。後者は、特に Microsoft Authenticator (passport.net)、電子メール クライアント (Mail.ru、Mozilla Thunderbird、Outlook、The Bat!、Yahoo Mail)、ブラウザ (Internet Explorer、Mozilla Firefox、Netscape Navigator)、メッセージング サービス ( Googleトーク)など。
GeminiDuke には、永続性を確保するための複数のメカニズムとともにローダー機能が組み込まれています。また、主にデバイス構成データの収集に使用されるスティーラー機能も備えています。重要な情報には、ユーザー アカウント、インストールされているドライバーとソフトウェア、実行中のプロセス、起動時に起動されるプログラムとサービス、ネットワーク設定、特定のフォルダーとファイルの存在、最近実行されたプログラム、開いているフォルダーとファイルなどが含まれます。
CosmicDuke (BotgenStudios、NemesisGemina、Tinybaron としても知られています) は、いくつかのローダー、永続化のためのさまざまなコンポーネント、および権限昇格モジュールで構成されています。このマルウェアの大部分は、特定の拡張子を持つファイルの抽出、暗号証明書 (秘密キーを含む) のエクスポート、スクリーンショットのキャプチャ、キーストロークの記録 (キーロギング)、ログイン資格情報の抽出 (ブラウザー、電子メール クライアント、メッセンジャー)、クリップボードの内容を取得します。
MiniDukeは、ローダー、ダウンローダー、バックドアなどの複数の亜種があり、主にさらなる感染に備えてシステムを準備したり、プロセスを促進したりします。
CozyDuke (Cozer、CozyBear、CozyCar、EuroAPT としても認識されます) は主に、追加の感染、特に独自のモジュールへの経路を作成するバックドアとして機能します。これを実現するために、永続性を維持するためにドロッパーと複数のモジュールを使用します。
その他のコンポーネントには、システム データの抽出、基本的な Cmd.exe コマンドの実行、スクリーンショットのキャプチャ、ログイン資格情報の盗用などがあります。ただし、CozyDuke には他のファイルに侵入して実行する能力もあり、それによってさまざまな形式のマルウェア感染を促進する可能性があります。
OnionDuke は、ローダーおよびドロッパー機能を備え、多数の潜在的な構成を提供するモジュール型マルウェアです。このプログラムには、パスワードやデータ検索用に設計されたモジュールなど、さまざまな情報窃取モジュールが含まれています。さらに、分散型サービス拒否 (DDoS) 攻撃を開始するためのモジュールと、侵害されたソーシャル ネットワーキング アカウントをスパム キャンペーン (感染を拡大する可能性がある) で利用するためのモジュールも統合されています。
SeaDuke (SeaDaddy、SeaDask とも呼ばれる) は、クロスプラットフォーム (Windows および Linux) のバックドアです。比較的単純なツールセットとして動作するその主な目的は、侵入したファイルを実行し、それによって感染プロセスを進行させることです。