Software malicioso del duque
Duke es el término general que denota una colección de conjuntos de herramientas de malware implementadas por el actor APT29 APT (Advanced Persistent Threat). Este actor, reconocido por múltiples alias como The Dukes, Cloaked Ursa, CozyBear, Nobelium y UNC2452, opera en el ámbito de las intrusiones cibernéticas. APT29 está afiliado al Servicio de Inteligencia Extranjera de la Federación Rusa (SVR RF), lo que significa un origen patrocinado por el estado de Rusia. Las actividades del grupo tienen sus raíces en motivaciones políticas y geopolíticas, centrándose en la recopilación de inteligencia y el ámbito del espionaje cibernético.
Bajo el paraguas de la familia de malware Duke se encuentra una amplia gama de software amenazante, que abarca varios tipos, como puertas traseras del sistema, cargadores, ladrones de información, disruptores de procesos y más.
La instancia más reciente de una campaña de ataque asociada con el grupo The Dukes tuvo lugar en 2023. Esta campaña involucró la difusión de documentos PDF maliciosos que se camuflaron como invitaciones diplomáticas provenientes de la embajada alemana. En particular, esta campaña de correo electrónico se dirigió a los ministerios de Relaciones Exteriores de las naciones alineadas con la OTAN, lo que subraya la orientación estratégica del grupo y las posibles implicaciones geopolíticas.
Los ciberdelincuentes crearon amenazas especializadas de Duke Malware
El actor de APT conocido como The Dukes ha mantenido su presencia operativa desde al menos 2008, exhibiendo una amplia gama de herramientas a lo largo de estos años. A continuación se presenta una descripción cronológica de algunos de los conjuntos de herramientas más destacados empleados por este actor de amenazas en particular.
PinchDuke : este conjunto de herramientas presenta una colección de cargadores diseñados para introducir elementos o programas amenazantes adicionales en sistemas comprometidos. Abarca un capturador de archivos destinado a la exfiltración y un ladrón de credenciales. Este último apunta a varias fuentes de datos, incluidos Microsoft Authenticator (passport.net), clientes de correo electrónico (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), navegadores (Internet Explorer, Mozilla Firefox, Netscape Navigator) y mensajería. servicios (Google Talk), entre otros.
GeminiDuke : con sus capacidades de carga y múltiples mecanismos para garantizar la persistencia, GeminiDuke también cuenta con funcionalidades como ladrón de datos, centrado predominantemente en recopilar datos de configuración de dispositivos. Esta información incluye cuentas de usuario, controladores y software instalados, procesos en ejecución, programas y servicios de inicio, configuraciones de red, carpetas y archivos específicos, y programas y archivos a los que se accedió recientemente.
duque cósmico (también reconocido como BotgenStudios, NemesisGemina y Tinybaron): Compuesto por varios cargadores, una gama de componentes para garantizar la persistencia y un módulo para escalar privilegios, CosmicDuke gira principalmente en torno a sus capacidades de robo de información. Puede filtrar archivos con extensiones específicas, exportar certificados criptográficos (incluidas claves privadas), capturar capturas de pantalla, registrar pulsaciones de teclas (registro de teclas), recuperar credenciales de inicio de sesión de navegadores, clientes de correo electrónico y mensajeros, así como recopilar contenido del portapapeles (copiar -pegar tampón).
MiniDuke : este malware viene en varias iteraciones, que abarcan funcionalidades de cargador, descarga y puerta trasera. MiniDuke se emplea principalmente para preparar un sistema para infecciones posteriores o para facilitar la progresión de dichas infecciones.
La familia Duke Malware continúa expandiéndose
Los investigadores lograron identificar varias amenazas más pertenecientes a la familia de malware Duke y que se utilizan como parte del arsenal malicioso de APT29.
CozyDuke , también conocido como Cozer, CozyBear, CozyCar y EuroAPT, funciona principalmente como una puerta trasera. Su objetivo principal es establecer un punto de entrada, a menudo denominado "puerta trasera", para infecciones posteriores, en particular sus propios módulos. Para lograr esto, emplea un cuentagotas junto con múltiples módulos diseñados para garantizar la persistencia.
Entre sus componentes se encuentran los dedicados a extraer datos del sistema, ejecutar comandos fundamentales de Cmd.exe, capturar capturas de pantalla y robar credenciales de inicio de sesión. Sorprendentemente, CozyDuke también posee la capacidad de infiltrarse y ejecutar otros archivos, lo que implica el potencial para facilitar un amplio espectro de infecciones de malware.
OnionDuke se presenta como malware modular con un conjunto diverso de configuraciones posibles. Armado con capacidades de cargador y cuentagotas, este programa presenta una variedad de módulos de robo de información, incluidos aquellos enfocados en recopilar contraseñas y otros datos confidenciales. Además, cuenta con un componente orientado a lanzar ataques de denegación de servicio distribuido (DDoS). Otro módulo está diseñado para explotar cuentas de redes sociales comprometidas para iniciar campañas de spam, lo que podría amplificar el alcance de la infección.
SeaDuke , también conocido como SeaDaddy y SeaDask, se destaca como una puerta trasera multiplataforma diseñada para operar en sistemas Windows y Linux. A pesar de su relativa simplicidad, SeaDuke sirve como un conjunto de herramientas fundamental, principalmente orientado a ejecutar archivos infiltrados para propagar la infección.
HammerDuke , conocido alternativamente como HAMMERTOSS y Netduke, surge como una puerta trasera sencilla. Su uso perceptible se ha señalado exclusivamente como una puerta trasera secundaria que sigue a una infección de CozyDuke.
CloudDuke también conocido como CloudLook y MiniDionis, se manifiesta en dos versiones de puerta trasera. Este malware abarca funcionalidades de descarga y carga, dirigidas principalmente a obtener e instalar cargas útiles desde ubicaciones predefinidas, ya sea desde Internet o desde una cuenta de Microsoft OneDrive.
Es crucial subrayar que la posibilidad de que el actor de The Dukes APT introduzca nuevos conjuntos de herramientas de malware sigue siendo considerable a menos que sus operaciones se detengan. La naturaleza de sus actividades sugiere un potencial sostenido de innovación en sus estrategias y técnicas.
