Duke Malware composto por diversos conjuntos de ferramentas maliciosas

"Duke" serve como o termo geral para conjuntos de software malicioso empregados pelo ator APT29 Advanced Persistent Threat (APT), também conhecido como The Dukes, Cloaked Ursa, CozyBear, Nobelium e UNC2452. APT29 é um grupo patrocinado pelo Estado russo afiliado ao Serviço de Inteligência Estrangeira da Federação Russa. O grupo é movido por motivos políticos e geopolíticos, focando principalmente na coleta de informações e atividades de ciberespionagem.

A coleção de malware da Duke abrange uma ampla variedade de software malicioso, desde backdoors e carregadores de sistema até ferramentas de extração de dados e disruptores de processos.

A campanha de spam mais recente associada ao grupo The Dukes ocorreu em 2023 e envolveu a distribuição de documentos PDF prejudiciais camuflados como convites diplomáticos da embaixada alemã. Esta campanha de e-mail visava os ministérios das Relações Exteriores de países alinhados com a OTAN.

O ator APT conhecido como The Dukes está ativo desde pelo menos 2008, apresentando uma variedade diversificada de ferramentas ao longo dos anos. Abaixo está uma lista cronológica de alguns dos conjuntos de ferramentas mais proeminentes utilizados por esse agente de ameaças.

Kit de Ferramentas Diversificado do Duke

O PinchDuke compreende uma série de carregadores projetados para se infiltrar em componentes ou programas maliciosos adicionais nos sistemas comprometidos. Ele também abrange um capturador de exfiltração de arquivos e um ladrão de credenciais. Este último visa especificamente dados relacionados ao Microsoft Authenticator (passport.net), clientes de e-mail (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), navegadores (Internet Explorer, Mozilla Firefox, Netscape Navigator), serviços de mensagens ( Google Talk) e muito mais.

O GeminiDuke incorpora recursos de carregador junto com vários mecanismos para garantir a persistência. Ele também apresenta funcionalidades de roubo utilizadas principalmente para a coleta de dados de configuração do dispositivo. As informações de interesse abrangem contas de usuário, drivers e softwares instalados, processos em execução, programas e serviços iniciados durante a inicialização, configurações de rede, pasta específica e presença de arquivos, programas executados recentemente, pastas e arquivos abertos e muito mais.

CosmicDuke (também conhecido como BotgenStudios, NemesisGemina, Tinybaron) consiste em vários carregadores, vários componentes para persistência e um módulo de escalonamento de privilégios. A maior parte desse malware funciona como um ladrão de informações, com recursos para exfiltrar arquivos com extensões específicas, exportar certificados criptográficos (incluindo chaves privadas), capturar capturas de tela, registrar pressionamentos de tecla (keylogging), extrair credenciais de login (de navegadores, clientes de e-mail, messengers) e recuperar o conteúdo da área de transferência.

O MiniDuke , disponível em várias variantes, incluindo um carregador, um downloader e um backdoor, prepara principalmente um sistema para novas infecções ou facilita o processo.

CozyDuke (também conhecido como Cozer, CozyBear, CozyCar, EuroAPT) funciona principalmente como um backdoor que cria um caminho para infecções adicionais, particularmente seus próprios módulos. Para conseguir isso, ele emprega um conta-gotas e vários módulos para sustentar a persistência.

Outros componentes incluem aqueles para extrair dados do sistema, executar comandos básicos do Cmd.exe, capturar capturas de tela e furtar credenciais de login. No entanto, o CozyDuke também tem a capacidade de se infiltrar e executar outros arquivos, facilitando assim várias formas de infecção por malware.

OnionDuke é um malware modular que oferece inúmeras configurações possíveis, com recursos de carregador e conta-gotas. O programa abrange vários módulos de roubo de informações, incluindo aqueles projetados para senha e recuperação de dados. Além disso, ele integra um módulo para lançar ataques Distributed Denial-of-Service (DDoS) e outro para alavancar contas de redes sociais comprometidas em campanhas de spam (potencialmente para expandir a infecção).

SeaDuke (também conhecido como SeaDaddy, SeaDask) é um backdoor de plataforma cruzada (Windows e Linux). Operando como um conjunto de ferramentas relativamente simples, seu principal objetivo é executar arquivos infiltrados, avançando assim no processo de infecção.