Duc Malware
Duke est le terme général désignant un ensemble d'outils malveillants déployés par l'acteur APT29 APT (Advanced Persistent Threat). Cet acteur, reconnu sous plusieurs pseudonymes tels que The Dukes, Cloaked Ursa, CozyBear, Nobelium et UNC2452, opère dans le domaine des cyber-intrusions. APT29 est affilié au Service de renseignement étranger de la Fédération de Russie (SVR RF), ce qui signifie une origine russe parrainée par l'État. Les activités du groupe sont enracinées dans des motivations politiques et géopolitiques, se concentrant sur la collecte de renseignements et le domaine du cyberespionnage.
Sous l'égide de la famille de logiciels malveillants Duke se trouve une vaste gamme de logiciels menaçants, englobant divers types tels que les portes dérobées du système, les chargeurs, les voleurs d'informations, les perturbateurs de processus et plus encore.
L'exemple le plus récent d'une campagne d'attaque associée au groupe The Dukes a eu lieu en 2023. Cette campagne impliquait la diffusion de documents PDF malveillants qui se sont camouflés en invitations diplomatiques provenant de l'ambassade d'Allemagne. Notamment, cette campagne d'e-mails ciblait les ministères des Affaires étrangères des nations alignées sur l'OTAN, soulignant le ciblage stratégique du groupe et les implications géopolitiques potentielles.
Les cybercriminels ont créé des menaces spécialisées de logiciels malveillants Duke
L'acteur APT connu sous le nom de The Dukes a maintenu sa présence opérationnelle depuis au moins 2008, présentant une vaste gamme d'outils au cours de ces années. Vous trouverez ci-dessous un aperçu chronologique de certains des ensembles d'outils les plus importants utilisés par cet acteur de menace particulier.
PinchDuke : cette boîte à outils comprend une collection de chargeurs conçus pour introduire des éléments ou des programmes menaçants supplémentaires dans des systèmes compromis. Il comprend un récupérateur de fichiers destiné à l'exfiltration et un voleur d'informations d'identification. Ce dernier cible diverses sources de données, notamment Microsoft Authenticator (passport.net), les clients de messagerie (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), les navigateurs (Internet Explorer, Mozilla Firefox, Netscape Navigator) et la messagerie. services (Google Talk), entre autres.
GeminiDuke : Avec ses capacités de chargement et ses multiples mécanismes pour assurer la persistance, GeminiDuke propose également des fonctionnalités de voleur de données, principalement axées sur la collecte des données de configuration des appareils. Ces informations incluent les comptes d'utilisateurs, les pilotes et logiciels installés, les processus en cours d'exécution, les programmes et services de démarrage, les paramètres réseau, les dossiers et fichiers spécifiques, ainsi que les programmes et fichiers récemment consultés.
CosmicDuke (également reconnu sous le nom de BotgenStudios, NemesisGemina et Tinybaron) : comprenant plusieurs chargeurs, une gamme de composants pour assurer la persistance et un module d'escalade de privilèges, CosmicDuke s'articule principalement autour de ses capacités de vol d'informations. Il peut exfiltrer des fichiers avec des extensions spécifiques, exporter des certificats cryptographiques (y compris des clés privées), capturer des captures d'écran, enregistrer des frappes (keylogging), récupérer des identifiants de connexion à partir de navigateurs, de clients de messagerie et de messagers, ainsi que collecter du contenu à partir du presse-papiers (copie -coller le tampon).
MiniDuke : Ce logiciel malveillant se décline en plusieurs versions, comprenant un chargeur, un téléchargeur et des fonctionnalités de porte dérobée. MiniDuke est principalement utilisé pour préparer un système pour des infections ultérieures ou pour faciliter la progression de telles infections.
La famille Duke Malware continue de s'étendre
Les chercheurs ont réussi à identifier plusieurs autres menaces appartenant à la famille des logiciels malveillants Duke et utilisées dans le cadre de l'arsenal malveillant d'APT29.
CozyDuke , également connu sous le nom de Cozer, CozyBear, CozyCar et EuroAPT, fonctionne principalement comme une porte dérobée. Son objectif principal est d'établir un point d'entrée, souvent appelé «porte dérobée», pour les infections ultérieures, en particulier ses propres modules. Pour ce faire, il utilise un compte-gouttes en conjonction avec plusieurs modules conçus pour assurer la persistance.
Parmi ses composants figurent ceux dédiés à l'extraction des données système, à l'exécution des commandes Cmd.exe fondamentales, à la capture de captures d'écran et au vol des identifiants de connexion. Remarquablement, CozyDuke possède également la capacité d'infiltrer et d'exécuter d'autres fichiers, ce qui implique le potentiel de faciliter un large éventail d'infections par des logiciels malveillants.
OnionDuke se présente comme un malware modulaire avec un ensemble diversifié de configurations possibles. Armé de capacités de chargement et d'extraction, ce programme introduit une gamme de modules de vol d'informations, y compris ceux axés sur la collecte de mots de passe et d'autres données sensibles. De plus, il comporte un composant destiné au lancement d'attaques par déni de service distribué (DDoS). Un autre module est conçu pour exploiter les comptes de réseaux sociaux compromis pour lancer des campagnes de spam, amplifiant potentiellement la portée de l'infection.
SeaDuke , également appelé SeaDaddy et SeaDask, se distingue comme une porte dérobée multiplateforme conçue pour fonctionner à la fois sur les systèmes Windows et Linux. Malgré sa relative simplicité, SeaDuke sert d'ensemble d'outils fondamental, principalement orienté vers l'exécution de fichiers infiltrés pour propager l'infection.
HammerDuke , connu alternativement sous le nom de HAMMERTOSS et Netduke, apparaît comme une simple porte dérobée. Son utilisation perceptible a été exclusivement notée comme une porte dérobée secondaire qui suit une infection CozyDuke.
CloudDuke également reconnu comme CloudLook et MiniDionis, se manifeste dans deux versions de porte dérobée. Ce logiciel malveillant comprend des fonctionnalités de téléchargement et de chargement, principalement destinées à récupérer et à installer des charges utiles à partir d'emplacements prédéfinis, que ce soit à partir d'Internet ou d'un compte Microsoft OneDrive.
Il est crucial de souligner que la perspective que l'acteur de The Dukes APT introduit de nouveaux ensembles d'outils de logiciels malveillants reste considérable à moins que leurs opérations ne s'arrêtent. La nature de leurs activités suggère un potentiel soutenu d'innovation dans leurs stratégies et leurs techniques.
