Duke 恶意软件由多种恶意工具组成

“Duke”是 APT29 高级持续威胁 (APT) 攻击者所使用的恶意软件集的总称，也称为 The Dukes、Cloaked Ursa、CozyBear、Nobelium 和 UNC2452。 APT29 是俄罗斯国家资助的组织，隶属于俄罗斯联邦对外情报局。该组织受政治和地缘政治动机驱动，主要关注情报收集和网络间谍活动。

杜克大学恶意软件集合包含广泛的恶意软件，从系统后门和加载程序到数据提取工具和流程破坏程序。

最近一次与 The Dukes 组织相关的垃圾邮件活动发生在 2023 年，涉及分发伪装成德国大使馆外交邀请的有害 PDF 文档。该电子邮件活动针对的是与北约结盟的国家的外交部。

被称为 The Dukes 的 APT 参与者至少从 2008 年起就一直活跃，多年来展示了各种各样的工具。以下是该威胁行为者使用的一些更重要的工具集的按时间顺序排列的列表。

杜克大学的多元化工具包

PinchDuke 包含一系列加载程序，旨在将其他恶意组件或程序渗透到受感染的系统中。它还包含文件泄露抓取器和凭证窃取器。后者专门针对与 Microsoft Authenticator (passport.net)、电子邮件客户端（Mail.ru、Mozilla Thunderbird、Outlook、The Bat!、Yahoo Mail）、浏览器（Internet Explorer、Mozilla Firefox、Netscape Navigator）、消息服务（ Google Talk）等。

GeminiDuke结合了加载器功能以及多种机制来确保持久性。它还具有主要用于收集设备配置数据的窃取程序功能。感兴趣的信息包括用户帐户、安装的驱动程序和软件、正在运行的进程、启动期间启动的程序和服务、网络设置、特定文件夹和文件存在、最近执行的程序、打开的文件夹和文件等等。

CosmicDuke （也称为 BotgenStudios、NemesisGemina、Tinybaron）由多个加载器、各种持久性组件和权限升级模块组成。该恶意软件的主要部分充当信息窃取程序，具有窃取具有特定扩展名的文件、导出加密证书（包括私钥）、捕获屏幕截图、记录击键（键盘记录）、提取登录凭据（从浏览器、电子邮件客户端、 Messenger），并检索剪贴板内容。

MiniDuke有多种变体，包括加载程序、下载程序和后门，主要是为进一步感染准备系统或促进该过程。

CozyDuke （也被称为 Cozer、CozyBear、CozyCar、EuroAPT）主要用作后门，为其他感染（尤其是其自己的模块）创建一条途径。为了实现这一点，它使用了一个释放器和多个模块来维持持久性。

其他组件包括用于提取系统数据、执行基本 Cmd.exe 命令、捕获屏幕截图和窃取登录凭据的组件。然而，CozyDuke 还具有渗透和执行其他文件的能力，从而可能促进各种形式的恶意软件感染。

OnionDuke是模块化恶意软件，提供多种潜在配置，具有加载程序和释放程序功能。该程序包含各种信息窃取模块，包括那些为密码和数据检索而设计的模块。此外，它还集成了一个用于发起分布式拒绝服务 (DDoS) 攻击的模块和另一个用于在垃圾邮件活动中利用受损社交网络帐户的模块（可能会扩大感染范围）。

SeaDuke （也称为 SeaDaddy、SeaDask）是一个跨平台（Windows 和 Linux）后门。作为一个相对简单的工具集，其主要目标是执行渗透文件，从而推进感染过程。