Вредоносное ПО Duke состоит из разнообразного набора вредоносных инструментов

«Duke» служит общим термином для наборов вредоносного программного обеспечения, используемого субъектом APT29 Advanced Persistent Threat (APT), также известным как The Dukes, Cloaked Ursa, CozyBear, Nobelium и UNC2452. АПТ29 — спонсируемая государством российская группа, связанная со Службой внешней разведки Российской Федерации. Группа руководствуется политическими и геополитическими мотивами, в первую очередь сосредоточившись на сборе разведывательной информации и кибершпионаже.

Коллекция вредоносных программ Duke включает в себя широкий спектр вредоносных программ, начиная от системных бэкдоров и загрузчиков и заканчивая инструментами извлечения данных и нарушителями процессов.

Самая последняя спам-кампания, связанная с группой The Dukes, произошла в 2023 году и включала распространение вредоносных PDF-документов, замаскированных под дипломатические приглашения от посольства Германии. Эта кампания по электронной почте была нацелена на министерства иностранных дел стран, присоединившихся к НАТО.

Актер APT, известный как The Dukes, активен по крайней мере с 2008 года, демонстрируя разнообразный ассортимент инструментов на протяжении многих лет. Ниже приведен хронологический список некоторых из наиболее известных наборов инструментов, используемых этим злоумышленником.

Разнообразный набор инструментов герцога

PinchDuke включает в себя серию загрузчиков, предназначенных для внедрения дополнительных вредоносных компонентов или программ в скомпрометированные системы. Он также включает в себя граббер для эксфильтрации файлов и похититель учетных данных. Последний предназначен специально для данных, связанных с Microsoft Authenticator (passport.net), почтовыми клиентами (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), браузерами (Internet Explorer, Mozilla Firefox, Netscape Navigator), службами обмена сообщениями ( Google Talk) и многое другое.

GeminiDuke включает в себя возможности загрузчика вместе с несколькими механизмами для обеспечения постоянства. Он также имеет функции стилера, которые в основном используются для сбора данных о конфигурации устройства. Интересующая информация включает в себя учетные записи пользователей, установленные драйверы и программное обеспечение, запущенные процессы, программы и службы, запущенные во время запуска, сетевые настройки, наличие конкретных папок и файлов, недавно выполненные программы, открытые папки и файлы и многое другое.

CosmicDuke (также известный как BotgenStudios, NemesisGemina, Tinybaron) состоит из нескольких загрузчиков, различных компонентов для сохраняемости и модуля повышения привилегий. Большая часть этой вредоносной программы действует как похититель информации, способный извлекать файлы с определенными расширениями, экспортировать криптографические сертификаты (включая закрытые ключи), делать скриншоты, записывать нажатия клавиш (кейлоггинг), извлекать учетные данные для входа (из браузеров, почтовых клиентов, мессенджеры) и получить содержимое буфера обмена.

MiniDuke , доступный в нескольких вариантах, включая загрузчик, загрузчик и бэкдор, в первую очередь подготавливает систему к дальнейшему заражению или облегчает процесс.

CozyDuke (также известный как Cozer, CozyBear, CozyCar, EuroAPT) в первую очередь функционирует как бэкдор, который создает путь для дополнительных заражений, особенно его собственных модулей. Для этого он использует дроппер и несколько модулей для поддержания постоянства.

Другие компоненты включают компоненты для извлечения системных данных, выполнения основных команд Cmd.exe, захвата снимков экрана и кражи учетных данных для входа. Однако CozyDuke также может проникать в другие файлы и запускать их, тем самым потенциально способствуя различным формам заражения вредоносным ПО.

OnionDuke — это модульное вредоносное ПО, предлагающее множество потенциальных конфигураций с возможностями загрузчика и дроппера. В состав программы входят различные модули для кражи информации, в том числе предназначенные для подбора паролей и данных. Кроме того, он включает модуль для запуска распределенных атак типа «отказ в обслуживании» (DDoS) и модуль для использования скомпрометированных учетных записей социальных сетей в спам-кампаниях (потенциально для распространения инфекции).

SeaDuke (также известный как SeaDaddy, SeaDask) — это кроссплатформенный (Windows и Linux) бэкдор. Работая как относительно простой набор инструментов, его основной задачей является выполнение зараженных файлов, тем самым ускоряя процесс заражения.