Duke 惡意軟件由多種惡意工具組成

“Duke”是 APT29 高級持續威脅 (APT) 攻擊者所使用的惡意軟件集的總稱，也被稱為 The Dukes、Cloaked Ursa、CozyBear、Nobelium 和 UNC2452。 APT29 是俄羅斯國家資助的組織，隸屬於俄羅斯聯邦對外情報局。該組織受政治和地緣政治動機驅動，主要關注情報收集和網絡間諜活動。

杜克大學惡意軟件集合包含廣泛的惡意軟件，從系統後門和加載程序到數據提取工具和流程破壞程序。

最近一次與 The Dukes 組織相關的垃圾郵件活動發生在 2023 年，涉及分發偽裝成德國大使館外交邀請的有害 PDF 文檔。該電子郵件活動針對的是與北約結盟的國家的外交部。

被稱為 The Dukes 的 APT 參與者至少從 2008 年起就一直活躍，多年來展示了各種各樣的工具。以下是該威脅行為者使用的一些更重要的工具集的按時間順序排列的列表。

杜克大學的多元化工具包

PinchDuke 包含一系列加載程序，旨在將其他惡意組件或程序滲透到受感染的系統中。它還包含文件洩露抓取器和憑證竊取器。後者專門針對與Microsoft Authenticator (passport.net)、電子郵件客戶端（Mail.ru、Mozilla Thunderbird、Outlook、The Bat!、Yahoo Mail）、瀏覽器（Internet Explorer、Mozilla Firefox、Netscape Navigator）、消息服務（ Google Talk）等。

GeminiDuke結合了加載器功能以及多種機制來確保持久性。它還具有主要用於收集設備配置數據的竊取程序功能。感興趣的信息包括用戶帳戶、安裝的驅動程序和軟件、正在運行的進程、啟動期間啟動的程序和服務、網絡設置、特定文件夾和文件存在、最近執行的程序、打開的文件夾和文件等等。

CosmicDuke （也稱為 BotgenStudios、NemesisGemina、Tinybaron）由多個加載器、各種持久性組件和權限升級模塊組成。該惡意軟件的主要部分充當信息竊取程序，具有竊取具有特定擴展名的文件、導出加密證書（包括私鑰）、捕獲屏幕截圖、記錄擊鍵（鍵盤記錄）、提取登錄憑據（從瀏覽器、電子郵件客戶端、 Messenger），並檢索剪貼板內容。

MiniDuke有多種變體，包括加載程序、下載程序和後門，主要是為進一步感染準備系統或促進該過程。

CozyDuke （也被稱為 Cozer、CozyBear、CozyCar、EuroAPT）主要用作後門，為其他感染（尤其是其自己的模塊）創建一條途徑。為了實現這一點，它使用了一個釋放器和多個模塊來維持持久性。

其他組件包括用於提取系統數據、執行基本 Cmd.exe 命令、捕獲屏幕截圖和竊取登錄憑據的組件。然而，CozyDuke 還具有滲透和執行其他文件的能力，從而可能促進各種形式的惡意軟件感染。

OnionDuke是模塊化惡意軟件，提供多種潛在配置，具有加載程序和釋放程序功能。該程序包含各種信息竊取模塊，包括那些為密碼和數據檢索而設計的模塊。此外，它還集成了一個用於發起分佈式拒絕服務 (DDoS) 攻擊的模塊和另一個用於在垃圾郵件活動中利用受損社交網絡帳戶的模塊（可能會擴大感染範圍）。

SeaDuke （也稱為 SeaDaddy、SeaDask）是一個跨平台（Windows 和 Linux）後門。作為一個相對簡單的工具集，其主要目標是執行滲透文件，從而推進感染過程。