Duke-Malware
Duke ist der übergreifende Begriff, der eine Sammlung von Malware-Toolsets bezeichnet, die vom APT29 APT-Akteur (Advanced Persistent Threat) bereitgestellt werden. Dieser Akteur, der unter mehreren Pseudonymen wie The Dukes, Cloaked Ursa, CozyBear, Nobelium und UNC2452 bekannt ist, ist im Bereich der Cyberangriffe tätig. APT29 ist mit dem Auslandsgeheimdienst der Russischen Föderation (SVR RF) verbunden, was auf einen staatlich geförderten Ursprung in Russland hinweist. Die Aktivitäten der Gruppe basieren auf politischen und geopolitischen Beweggründen und konzentrieren sich auf das Sammeln von Informationen und den Bereich der Cyberspionage.
Unter dem Dach der Duke-Malware-Familie verbirgt sich eine umfangreiche Palette bedrohlicher Software, die verschiedene Typen wie System-Hintertüren, Loader, Infostealer, Prozessstörer und mehr umfasst.
Der jüngste Fall einer Angriffskampagne im Zusammenhang mit der The Dukes-Gruppe ereignete sich im Jahr 2023. Dabei handelte es sich um die Verbreitung bösartiger PDF-Dokumente, die sich als diplomatische Einladungen der deutschen Botschaft tarnten. Diese E-Mail-Kampagne zielte insbesondere auf die Außenministerien der mit der NATO verbündeten Nationen ab und unterstreicht die strategische Ausrichtung der Gruppe und mögliche geopolitische Auswirkungen.
Die Cyberkriminellen haben spezielle Duke-Malware-Bedrohungen entwickelt
Der als The Dukes bekannte APT-Akteur ist seit mindestens 2008 operativ präsent und hat im Laufe dieser Jahre eine umfangreiche Palette an Werkzeugen zur Schau gestellt. Nachfolgend finden Sie einen chronologischen Überblick über einige der bekanntesten Toolsets, die von diesem speziellen Bedrohungsakteur eingesetzt werden.
PinchDuke : Dieses Toolkit enthält eine Sammlung von Loadern, die dazu dienen, zusätzliche bedrohliche Elemente oder Programme in kompromittierte Systeme einzuschleusen. Es umfasst einen File Grabber zur Exfiltration und einen Credential Stealer. Letzteres zielt auf verschiedene Datenquellen ab, darunter Microsoft Authenticator (passport.net), E-Mail-Clients (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), Browser (Internet Explorer, Mozilla Firefox, Netscape Navigator) und Messaging Dienste (Google Talk), unter anderem.
GeminiDuke : Mit seinen Loader-Fähigkeiten und mehreren Mechanismen zur Gewährleistung der Persistenz verfügt GeminiDuke auch über Funktionalitäten als Datendiebstahler, die sich hauptsächlich auf das Sammeln von Gerätekonfigurationsdaten konzentrieren. Zu diesen Informationen gehören Benutzerkonten, installierte Treiber und Software, laufende Prozesse, Startprogramme und -dienste, Netzwerkeinstellungen, bestimmte Ordner und Dateien sowie kürzlich aufgerufene Programme und Dateien.
CosmicDuke (auch bekannt als BotgenStudios, NemesisGemina und Tinybaron): CosmicDuke besteht aus mehreren Loadern, einer Reihe von Komponenten zur Sicherstellung der Persistenz und einem Modul zur Rechteausweitung und konzentriert sich in erster Linie auf seine Fähigkeiten zum Informationsdiebstahl. Es kann Dateien mit bestimmten Erweiterungen exfiltrieren, kryptografische Zertifikate (einschließlich privater Schlüssel) exportieren, Screenshots erfassen, Tastenanschläge aufzeichnen (Keylogging), Anmeldeinformationen von Browsern, E-Mail-Clients und Messengern abrufen sowie Inhalte aus der Zwischenablage sammeln (Kopieren). -Puffer einfügen).
MiniDuke : Diese Malware gibt es in verschiedenen Versionen, einschließlich Loader-, Downloader- und Backdoor-Funktionen. MiniDuke wird in erster Linie eingesetzt, um entweder ein System auf nachfolgende Infektionen vorzubereiten oder das Fortschreiten solcher Infektionen zu erleichtern.
Die Duke-Malware-Familie wächst weiter
Den Forschern ist es gelungen, mehrere weitere Bedrohungen zu identifizieren, die zur Duke-Malware-Familie gehören und als Teil des bösartigen Arsenals von APT29 verwendet werden.
CozyDuke , auch bekannt als Cozer, CozyBear, CozyCar und EuroAPT, fungiert hauptsächlich als Hintertür. Sein Hauptzweck besteht darin, einen Eintrittspunkt, oft auch als „Hintertür“ bezeichnet, für nachfolgende Infektionen, insbesondere seiner eigenen Module, zu schaffen. Um dies zu erreichen, verwendet es einen Dropper in Verbindung mit mehreren Modulen, die die Persistenz gewährleisten sollen.
Zu seinen Komponenten gehören Komponenten, die zum Extrahieren von Systemdaten, zum Ausführen grundlegender Cmd.exe-Befehle, zum Aufzeichnen von Screenshots und zum Stehlen von Anmeldeinformationen dienen. Bemerkenswerterweise verfügt CozyDuke auch über die Fähigkeit, andere Dateien zu infiltrieren und auszuführen, was das Potenzial mit sich bringt, ein breites Spektrum an Malware-Infektionen zu ermöglichen.
OnionDuke präsentiert sich als modulare Malware mit vielfältigen möglichen Konfigurationen. Ausgestattet mit Loader- und Dropper-Funktionen führt dieses Programm eine Reihe von Modulen zum Informationsdiebstahl ein, darunter solche, die sich auf das Sammeln von Passwörtern und anderen sensiblen Daten konzentrieren. Darüber hinaus verfügt es über eine Komponente zur Durchführung von DDoS-Angriffen (Distributed Denial of Service). Ein weiteres Modul ist darauf ausgelegt, kompromittierte Social-Networking-Konten für die Initiierung von Spam-Kampagnen auszunutzen und so möglicherweise die Reichweite der Infektion zu vergrößern.
SeaDuke , auch bekannt als SeaDaddy und SeaDask, zeichnet sich durch eine plattformübergreifende Hintertür aus, die sowohl auf Windows- als auch auf Linux-Systemen funktioniert. Trotz seiner relativen Einfachheit dient SeaDuke als grundlegendes Toolset, das in erster Linie auf die Ausführung infiltrierter Dateien zur Verbreitung der Infektion ausgerichtet ist.
HammerDuke , abwechselnd bekannt als HAMMERTOSS und Netduke, entpuppt sich als einfache Hintertür. Seine erkennbare Verwendung wurde ausschließlich als sekundäre Hintertür im Anschluss an eine CozyDuke-Infektion festgestellt.
CloudDuke, auch bekannt als CloudLook und MiniDionis, erscheint in zwei Backdoor-Versionen. Diese Malware umfasst Downloader- und Loader-Funktionen, die in erster Linie darauf abzielen, Payloads von vordefinierten Orten abzurufen und zu installieren, sei es aus dem Internet oder einem Microsoft OneDrive-Konto.
Es ist wichtig zu betonen, dass die Aussicht, dass der APT-Akteur The Dukes neue Malware-Toolsets einführt, weiterhin groß ist, sofern sein Betrieb nicht eingestellt wird. Die Art ihrer Aktivitäten lässt auf ein nachhaltiges Innovationspotenzial in ihren Strategien und Techniken schließen.
