Duke kenkėjiška programa, kurią sudaro įvairūs kenkėjiškų įrankių rinkiniai

„Duke“ yra bendras terminas kenkėjiškos programinės įrangos rinkiniams, kuriuos naudoja APT29 Advanced Persistent Threat (APT) veikėjas, taip pat žinomas kaip The Dukes, Cloaked Ursa, CozyBear, Nobelium ir UNC2452. APT29 yra Rusijos valstybės remiama grupė, susijusi su Rusijos Federacijos užsienio žvalgybos tarnyba. Grupę skatina politiniai ir geopolitiniai motyvai, daugiausia dėmesio skiriant žvalgybos duomenų rinkimui ir kibernetinio šnipinėjimo veiklai.

„Duke“ kenkėjiškų programų kolekcija apima daugybę kenkėjiškos programinės įrangos, pradedant nuo sistemos užpakalinių durų ir įkroviklių iki duomenų išgavimo įrankių ir procesų trikdytojų.

Paskutinė su „The Dukes“ grupe susijusi šlamšto kampanija įvyko 2023 m., kai buvo platinami žalingi PDF dokumentai, užmaskuoti kaip diplomatiniai Vokietijos ambasados kvietimai. Ši el. pašto kampanija buvo skirta NATO prisijungusių šalių užsienio reikalų ministerijai.

APT aktorius, žinomas kaip „The Dukes“, veikia mažiausiai nuo 2008 m., Per daugelį metų demonstruodamas įvairų įrankių asortimentą. Toliau pateikiamas chronologinis kai kurių ryškesnių įrankių rinkinių, kuriuos naudoja šis grėsmės veikėjas, sąrašas.

Duke's Diverse Toolkit

„PinchDuke“ sudaro kroviklių serija, skirta įsiskverbti į papildomus kenkėjiškus komponentus ar programas į pažeistas sistemas. Tai taip pat apima failų išfiltravimo griebtuvą ir kredencialų vagystę. Pastaroji konkrečiai skirta duomenims, susijusiems su Microsoft Authenticator (passport.net), el. pašto klientais (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), naršyklėmis (Internet Explorer, Mozilla Firefox, Netscape Navigator), pranešimų siuntimo paslaugomis ( Google Talk) ir kt.

GeminiDuke apima krautuvo galimybes ir kelis mechanizmus, kad būtų užtikrintas patvarumas. Jame taip pat yra „stealer“ funkcijų, pirmiausia naudojamų įrenginio konfigūracijos duomenims rinkti. Dominanti informacija apima vartotojų abonementus, įdiegtas tvarkykles ir programinę įrangą, vykdomus procesus, programas ir paslaugas, paleistas paleidimo metu, tinklo nustatymus, konkretų aplanką ir failą, neseniai paleistas programas, atidarytus aplankus ir failus ir kt.

„CosmicDuke“ (taip pat žinomas kaip „BotgenStudios“, „NemesisGemina“, „Tinybaron“) susideda iš kelių kroviklių, įvairių komponentų, užtikrinančių patvarumą, ir privilegijų eskalavimo modulio. Didžioji šios kenkėjiškos programos dalis veikia kaip informacijos vagis, galinti išfiltruoti failus su tam tikrais plėtiniais, eksportuoti kriptografinius sertifikatus (įskaitant privačius raktus), fiksuoti ekrano kopijas, įrašyti klavišų paspaudimus (keylogging), išgauti prisijungimo kredencialus (iš naršyklių, el. pašto programų, pasiuntiniai) ir gauti iškarpinės turinį.

„MiniDuke“ yra keli variantai, įskaitant įkroviklį, atsisiuntimo programą ir užpakalines duris, pirmiausia paruošia sistemą tolesnei infekcijai arba palengvina procesą.

CozyDuke (taip pat žinomas kaip Cozer, CozyBear, CozyCar, EuroAPT) pirmiausia veikia kaip užpakalinės durys, sukuriančios kelią papildomoms infekcijoms, ypač savo moduliams. Kad tai pasiektų, jame naudojamas lašintuvas ir keli moduliai, užtikrinantys patvarumą.

Kiti komponentai apima sistemos duomenų išskleidimo, pagrindinių Cmd.exe komandų vykdymo, ekrano kopijų fiksavimo ir prisijungimo kredencialų apiplėšimo komponentus. Tačiau CozyDuke taip pat gali įsiskverbti į kitus failus ir vykdyti juos, tokiu būdu gali palengvinti įvairių formų kenkėjiškų programų užkrėtimą.

„OnionDuke“ yra modulinė kenkėjiška programa, siūlanti daugybę galimų konfigūracijų su įkroviklio ir lašintuvo galimybėmis. Programa apima įvairius informacijos vagystės modulius, įskaitant tuos, kurie skirti slaptažodžiui ir duomenims gauti. Be to, jame yra integruotas modulis, skirtas paskirstytų paslaugų atsisakymo (DDoS) atakoms paleisti, ir kitas modulis, skirtas panaudoti pažeistas socialinių tinklų paskyras šlamšto kampanijose (galima išplėsti infekciją).

SeaDuke (taip pat žinomas kaip SeaDaddy, SeaDask) yra kelių platformų („Windows“ ir „Linux“) užpakalinės durys. Veikia kaip gana paprastas įrankių rinkinys, pagrindinis jo tikslas yra vykdyti įsiskverbtus failus, taip paspartinant infekcijos procesą.