Duke Malware Składa się z różnych zestawów złośliwych narzędzi

„Duke” to ogólne określenie zestawów złośliwego oprogramowania wykorzystywanego przez aktora APT29 Advanced Persistent Threat (APT), znanego również jako The Dukes, Cloaked Ursa, CozyBear, Nobelium i UNC2452. APT29 to rosyjska grupa sponsorowana przez państwo, powiązana ze Służbą Wywiadu Zagranicznego Federacji Rosyjskiej. Grupa kieruje się motywami politycznymi i geopolitycznymi, koncentrując się przede wszystkim na zbieraniu danych wywiadowczych i działaniach cyberszpiegowskich.

Kolekcja złośliwego oprogramowania Duke obejmuje szeroką gamę złośliwego oprogramowania, począwszy od systemowych backdoorów i programów ładujących, a skończywszy na narzędziach do ekstrakcji danych i zakłóceniach procesów.

Ostatnia kampania spamowa powiązana z grupą The Dukes miała miejsce w 2023 roku i polegała na dystrybucji szkodliwych dokumentów PDF udających zaproszenia dyplomatyczne z niemieckiej ambasady. Ta kampania e-mailowa była skierowana do ministerstw spraw zagranicznych krajów sprzymierzonych z NATO.

Aktor APT znany jako The Dukes jest aktywny od co najmniej 2008 roku, prezentując różnorodny asortyment narzędzi na przestrzeni lat. Poniżej znajduje się chronologiczna lista niektórych z bardziej znanych zestawów narzędzi wykorzystywanych przez tego cyberprzestępcę.

Zróżnicowany zestaw narzędzi Duke'a

PinchDuke składa się z serii programów ładujących zaprojektowanych w celu infiltracji dodatkowych złośliwych komponentów lub programów w zaatakowanych systemach. Obejmuje również narzędzie do wykradania plików i narzędzie do kradzieży danych uwierzytelniających. Ta ostatnia w szczególności atakuje dane związane z Microsoft Authenticator (passport.net), klientami poczty e-mail (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), przeglądarkami (Internet Explorer, Mozilla Firefox, Netscape Navigator), usługami przesyłania wiadomości ( Google Talk) i nie tylko.

GeminiDuke zawiera funkcje modułu ładującego wraz z wieloma mechanizmami zapewniającymi trwałość. Zawiera również funkcje wykradające, wykorzystywane głównie do gromadzenia danych konfiguracyjnych urządzeń. Interesujące informacje obejmują konta użytkowników, zainstalowane sterowniki i oprogramowanie, uruchomione procesy, programy i usługi uruchamiane podczas uruchamiania, ustawienia sieciowe, obecność określonych folderów i plików, ostatnio uruchamiane programy, otwierane foldery i pliki oraz inne.

CosmicDuke (znany również jako BotgenStudios, NemesisGemina, Tinybaron) składa się z kilku modułów ładujących, różnych komponentów zapewniających trwałość i modułu eskalacji uprawnień. Większość tego złośliwego oprogramowania działa jako narzędzie do kradzieży informacji, z możliwością eksfiltracji plików z określonymi rozszerzeniami, eksportowania certyfikatów kryptograficznych (w tym kluczy prywatnych), przechwytywania zrzutów ekranu, rejestrowania naciśnięć klawiszy (rejestrowanie klawiszy), wydobywania danych logowania (z przeglądarek, klientów poczty e-mail, komunikatory) i pobierać zawartość schowka.

MiniDuke , dostępny w wielu wariantach, w tym moduł ładujący, downloader i backdoor, przede wszystkim przygotowuje system do dalszej infekcji lub ułatwia ten proces.

CozyDuke (znany również jako Cozer, CozyBear, CozyCar, EuroAPT) działa przede wszystkim jako backdoor, który tworzy ścieżkę dla dodatkowych infekcji, w szczególności własnych modułów. Aby to osiągnąć, wykorzystuje zakraplacz i wiele modułów do podtrzymywania trwałości.

Inne komponenty obejmują te do wyodrębniania danych systemowych, wykonywania podstawowych poleceń Cmd.exe, przechwytywania zrzutów ekranu i kradzieży danych logowania. Jednak CozyDuke może również infiltrować i uruchamiać inne pliki, potencjalnie ułatwiając w ten sposób różne formy infekcji złośliwym oprogramowaniem.

OnionDuke to modułowe złośliwe oprogramowanie oferujące wiele potencjalnych konfiguracji, w tym funkcje ładowania i upuszczania. Program obejmuje różne moduły kradnące informacje, w tym te przeznaczone do odzyskiwania haseł i danych. Dodatkowo integruje moduł do przeprowadzania ataków typu Distributed Denial-of-Service (DDoS) oraz inny do wykorzystywania zainfekowanych kont sieci społecznościowych w kampaniach spamowych (potencjalnie w celu rozszerzenia infekcji).

SeaDuke (znany również jako SeaDaddy, SeaDask) to wieloplatformowy backdoor (Windows i Linux). Działając jako stosunkowo prosty zestaw narzędzi, jego głównym celem jest uruchamianie infiltrowanych plików, przyspieszając w ten sposób proces infekcji.