Duke Malware består av en mängd olika skadliga verktyg

"Duke" fungerar som den allmänna termen för uppsättningar av skadlig programvara som används av APT29 Advanced Persistent Threat-skådespelaren (APT), även känd som The Dukes, Cloaked Ursa, CozyBear, Nobelium och UNC2452. APT29 är en rysk statssponsrad grupp knuten till Ryska federationens utrikes underrättelsetjänst. Gruppen drivs av politiska och geopolitiska motiv, främst inriktad på underrättelseinsamling och cyberspionage.

Dukes insamling av skadlig programvara omfattar ett omfattande utbud av skadlig programvara, allt från systembakdörrar och laddare till dataextraktionsverktyg och processstörare.

Den senaste spamkampanjen förknippad med The Dukes-gruppen inträffade 2023 och involverade distribution av skadliga PDF-dokument kamouflerade som diplomatiska inbjudningar från den tyska ambassaden. Denna e-postkampanj riktade sig till utrikesministerierna i länder som är anslutna till NATO.

APT-skådespelaren känd som The Dukes har varit aktiv sedan åtminstone 2008 och visat upp ett varierat utbud av verktyg genom åren. Nedan är en kronologisk lista över några av de mer framträdande verktygsuppsättningarna som används av denna hotaktör.

Dukes olika verktygslåda

PinchDuke består av en serie laddare utformade för att infiltrera ytterligare skadliga komponenter eller program i komprometterade system. Den omfattar också en filexfiltreringsgrabber och en autentiseringstjuver. Den senare riktar sig specifikt till data relaterade till Microsoft Authenticator (passport.net), e-postklienter (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), webbläsare (Internet Explorer, Mozilla Firefox, Netscape Navigator), meddelandetjänster ( Google Talk) och mer.

GeminiDuke har lastarfunktioner tillsammans med flera mekanismer för att säkerställa uthållighet. Den har också stealer-funktioner som främst används för insamling av enhetskonfigurationsdata. Information av intresse omfattar användarkonton, installerade drivrutiner och mjukvara, pågående processer, program och tjänster som lanserades under uppstart, nätverksinställningar, specifik mapp och filnärvaro, nyligen körda program, öppnade mappar och filer och mer.

CosmicDuke (även känd som BotgenStudios, NemesisGemina, Tinybaron) består av flera lastare, olika komponenter för uthållighet och en privilegieskaleringsmodul. Den största delen av denna skadliga programvara fungerar som en informationsstöldare, med kapacitet att exfiltrera filer med särskilda tillägg, exportera kryptografiska certifikat (inklusive privata nycklar), ta skärmdumpar, registrera tangenttryckningar (tangentloggning), extrahera inloggningsuppgifter (från webbläsare, e-postklienter, budbärare) och hämta innehåll från urklipp.

MiniDuke , tillgänglig i flera varianter, inklusive en laddare, nedladdare och bakdörr, förbereder i första hand ett system för ytterligare infektion eller underlättar processen.

CozyDuke (även känd som Cozer, CozyBear, CozyCar, EuroAPT) fungerar i första hand som en bakdörr som skapar en väg för ytterligare infektioner, särskilt sina egna moduler. För att uppnå detta använder den en dropper och flera moduler för att upprätthålla uthållighet.

Andra komponenter inkluderar de för att extrahera systemdata, köra grundläggande Cmd.exe-kommandon, ta skärmdumpar och stjäla inloggningsuppgifter. CozyDuke har dock också kapacitet att infiltrera och exekvera andra filer, vilket potentiellt underlättar olika former av skadlig programvara.

OnionDuke är modulär skadlig programvara som erbjuder många potentiella konfigurationer, med lastar- och droppfunktioner. Programmet omfattar olika informationsstöldmoduler, inklusive de som är utformade för lösenords- och datahämtning. Dessutom integrerar den en modul för att starta DDoS-attacker (Distributed Denial-of-Service) och en annan för att utnyttja komprometterade sociala nätverkskonton i spamkampanjer (potentiellt för att utöka infektionen).

SeaDuke (även känd som SeaDaddy, SeaDask) är en plattformsoberoende (Windows och Linux) bakdörr. Fungerar som en relativt enkel verktygsuppsättning, dess huvudsakliga mål är att exekvera infiltrerade filer och därigenom främja infektionsprocessen.