Duke Malware Bestaat uit diverse set schadelijke tools

"Duke" is de algemene term voor reeksen schadelijke software die worden gebruikt door de APT29 Advanced Persistent Threat (APT)-acteur, ook bekend als The Dukes, Cloaked Ursa, CozyBear, Nobelium en UNC2452. APT29 is een door de Russische staat gesponsorde groep die is aangesloten bij de buitenlandse inlichtingendienst van de Russische Federatie. De groep wordt gedreven door politieke en geopolitieke motieven en richt zich voornamelijk op het verzamelen van inlichtingen en cyberspionageactiviteiten.

De Duke-malwarecollectie omvat een uitgebreide reeks schadelijke software, variërend van systeemachterdeurtjes en -laders tot tools voor gegevensextractie en procesverstoorders.

De meest recente spamcampagne in verband met The Dukes-groep vond plaats in 2023 en omvatte de verspreiding van schadelijke pdf-documenten, gecamoufleerd als diplomatieke uitnodigingen van de Duitse ambassade. Deze e-mailcampagne was gericht op de ministeries van Buitenlandse Zaken van landen die aangesloten zijn bij de NAVO.

De APT-acteur die bekend staat als The Dukes is actief sinds minstens 2008 en heeft door de jaren heen een divers assortiment aan tools gepresenteerd. Hieronder vindt u een chronologische lijst van enkele van de meer prominente toolsets die door deze bedreigingsactor worden gebruikt.

Duke's diverse toolkit

PinchDuke bestaat uit een reeks laders die zijn ontworpen om extra kwaadaardige componenten of programma's in gecompromitteerde systemen te infiltreren. Het omvat ook een bestandsexfiltratiegrabber en een credential stealer. Deze laatste is specifiek gericht op gegevens met betrekking tot Microsoft Authenticator (passport.net), e-mailclients (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), browsers (Internet Explorer, Mozilla Firefox, Netscape Navigator), berichtenservices ( Google Talk), en meer.

GeminiDuke bevat loader-mogelijkheden samen met meerdere mechanismen om doorzettingsvermogen te garanderen. Het beschikt ook over stealer-functionaliteiten die voornamelijk worden gebruikt voor het verzamelen van apparaatconfiguratiegegevens. Interessante informatie omvat gebruikersaccounts, geïnstalleerde stuurprogramma's en software, actieve processen, programma's en services die zijn gestart tijdens het opstarten, netwerkinstellingen, specifieke map- en bestandsaanwezigheid, recent uitgevoerde programma's, geopende mappen en bestanden, en meer.

CosmicDuke (ook bekend als BotgenStudios, NemesisGemina, Tinybaron) bestaat uit verschillende laders, verschillende componenten voor persistentie en een privilege-escalatiemodule. Het grootste deel van deze malware werkt als een informatie-dief, met mogelijkheden om bestanden met bepaalde extensies te exfiltreren, cryptografische certificaten (inclusief privésleutels) te exporteren, schermafbeeldingen vast te leggen, toetsaanslagen vast te leggen (keylogging), inloggegevens te extraheren (van browsers, e-mailclients, messengers) en de inhoud van het klembord ophalen.

MiniDuke , beschikbaar in meerdere varianten, waaronder een lader, downloader en achterdeur, bereidt in de eerste plaats een systeem voor op verdere infectie of vergemakkelijkt het proces.

CozyDuke (ook bekend als Cozer, CozyBear, CozyCar, EuroAPT) functioneert voornamelijk als een achterdeur die een pad creëert voor extra infecties, met name zijn eigen modules. Om dit te bereiken, maakt het gebruik van een druppelaar en meerdere modules om de volharding te behouden.

Andere componenten zijn die voor het extraheren van systeemgegevens, het uitvoeren van standaard Cmd.exe-opdrachten, het maken van schermafbeeldingen en het stelen van inloggegevens. CozyDuke heeft echter ook de capaciteit om andere bestanden te infiltreren en uit te voeren, waardoor mogelijk verschillende vormen van malware-infectie worden vergemakkelijkt.

OnionDuke is modulaire malware die tal van mogelijke configuraties biedt, met lader- en dropper-mogelijkheden. Het programma omvat verschillende modules voor het stelen van informatie, waaronder modules die zijn ontworpen voor het ophalen van wachtwoorden en gegevens. Bovendien integreert het een module voor het lanceren van Distributed Denial-of-Service (DDoS)-aanvallen en een andere voor het gebruiken van gecompromitteerde sociale netwerkaccounts in spamcampagnes (mogelijk om de infectie uit te breiden).

SeaDuke (ook bekend als SeaDaddy, SeaDask) is een platformonafhankelijke (Windows en Linux) backdoor. Het werkt als een relatief eenvoudige toolset en het belangrijkste doel is om geïnfiltreerde bestanden uit te voeren, waardoor het infectieproces wordt bevorderd.