Duke Malware består av diverse sett med ondsinnede verktøy

"Duke" fungerer som den generelle betegnelsen for sett med ondsinnet programvare brukt av APT29 Advanced Persistent Threat (APT)-skuespilleren, også anerkjent som The Dukes, Cloaked Ursa, CozyBear, Nobelium og UNC2452. APT29 er en russisk statsstøttet gruppe tilknyttet den russiske føderasjonens utenlandske etterretningstjeneste. Gruppen er drevet av politiske og geopolitiske motiver, primært med fokus på etterretningsinnhenting og cyberspionasjeaktiviteter.

Duke-malwaresamlingen omfatter et omfattende utvalg av skadelig programvare, alt fra systembakdører og lastere til datautvinningsverktøy og prosessforstyrrere.

Den siste spamkampanjen knyttet til The Dukes-gruppen fant sted i 2023 og involverte distribusjon av skadelige PDF-dokumenter kamuflert som diplomatiske invitasjoner fra den tyske ambassaden. Denne e-postkampanjen var rettet mot utenriksdepartementene i land som er på linje med NATO.

APT-skuespilleren kjent som The Dukes har vært aktiv siden minst 2008, og har vist et mangfoldig utvalg av verktøy gjennom årene. Nedenfor er en kronologisk liste over noen av de mer fremtredende verktøysettene som brukes av denne trusselaktøren.

Duke's Diverse Toolkit

PinchDuke består av en serie med lastere designet for å infiltrere ytterligere skadelige komponenter eller programmer inn i kompromitterte systemer. Den omfatter også en fileksfiltreringsgrabber og en legitimasjonstyver. Sistnevnte retter seg spesifikt mot data relatert til Microsoft Authenticator (passport.net), e-postklienter (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), nettlesere (Internet Explorer, Mozilla Firefox, Netscape Navigator), meldingstjenester ( Google Talk) og mer.

GeminiDuke har lasterfunksjoner sammen med flere mekanismer for å sikre utholdenhet. Den har også tyverifunksjoner som primært brukes til innsamling av enhetskonfigurasjonsdata. Informasjon av interesse omfatter brukerkontoer, installerte drivere og programvare, kjørende prosesser, programmer og tjenester som ble lansert under oppstart, nettverksinnstillinger, spesifikk mappe og filtilstedeværelse, nylig utførte programmer, åpnede mapper og filer og mer.

CosmicDuke (også kjent som BotgenStudios, NemesisGemina, Tinybaron) består av flere lastere, ulike komponenter for utholdenhet og en privilegie-eskaleringsmodul. Størstedelen av denne skadelige programvaren fungerer som en informasjonstyver, med muligheter til å eksfiltrere filer med bestemte utvidelser, eksportere kryptografiske sertifikater (inkludert private nøkler), ta skjermbilder, registrere tastetrykk (tastelogging), trekke ut påloggingsinformasjon (fra nettlesere, e-postklienter, messengers), og hente utklippstavlens innhold.

MiniDuke , tilgjengelig i flere varianter, inkludert en laster, nedlaster og bakdør, forbereder først og fremst et system for ytterligere infeksjon eller letter prosessen.

CozyDuke (også anerkjent som Cozer, CozyBear, CozyCar, EuroAPT) fungerer først og fremst som en bakdør som skaper en vei for ytterligere infeksjoner, spesielt sine egne moduler. For å oppnå dette bruker den en dropper og flere moduler for å opprettholde utholdenhet.

Andre komponenter inkluderer de for å trekke ut systemdata, utføre grunnleggende Cmd.exe-kommandoer, ta skjermbilder og stjele påloggingsinformasjon. Imidlertid har CozyDuke også kapasitet til å infiltrere og kjøre andre filer, og dermed muligens muliggjøre ulike former for skadelig programvareinfeksjon.

OnionDuke er modulær skadelig programvare som tilbyr en rekke potensielle konfigurasjoner, med laste- og dropper-funksjoner. Programmet omfatter ulike moduler for å stjele informasjon, inkludert de som er utviklet for passord- og datainnhenting. I tillegg integrerer den en modul for å lansere DDoS-angrep (Distributed Denial-of-Service) og en annen for å utnytte kompromitterte sosiale nettverkskontoer i spamkampanjer (potensielt for å utvide infeksjonen).

SeaDuke (også kjent som SeaDaddy, SeaDask) er en bakdør på tvers av plattformer (Windows og Linux). Fungerer som et relativt enkelt verktøysett, og hovedmålet er å kjøre infiltrerte filer, og dermed fremme infeksjonsprosessen.