デュークマルウェア
Duke は、 APT29 APT (Advanced Persistent Threat) 攻撃者によって展開されるマルウェア ツールセットのコレクションを表す包括的な用語です。この攻撃者は、The Dukes、Cloaked Ursa、CozyBear、Nobelium、UNC2452 などの複数の別名で認識されており、サイバー侵入の領域内で活動しています。 APT29 はロシア連邦対外情報局 (SVR RF) に所属しており、国家の支援を受けてロシアから発信されたことを示しています。このグループの活動は政治的および地政学的な動機に根ざしており、情報収集とサイバースパイ活動の分野に重点を置いています。
Duke マルウェア ファミリの傘下には、システム バックドア、ローダー、情報窃盗、プロセス破壊者などのさまざまな種類を含む、膨大な数の脅威ソフトウェアが横たわっています。
The Dukes グループに関連した攻撃キャンペーンの最新の事例は 2023 年に発生しました。このキャンペーンには、ドイツ大使館からの外交招待状を偽装した悪意のある PDF 文書の配布が含まれていました。注目すべきことに、この電子メールキャンペーンはNATOと同盟を結んでいる国々の外務省をターゲットにしており、このグループの戦略的標的と潜在的な地政学的影響を浮き彫りにしている。
サイバー犯罪者が特殊な Duke マルウェアの脅威を作成
The Dukes として知られる APT アクターは、少なくとも 2008 年以来活動を続けており、長年にわたり広範囲にわたるツールを公開しています。以下に、この特定の脅威アクターが使用する最も著名なツールセットのいくつかを時系列にまとめて示します。
PinchDuke :このツールキットは、侵害されたシステムに追加の脅威要素やプログラムを導入するように設計されたローダーのコレクションを備えています。これには、漏洩を目的としたファイル グラバーと資格情報スティーラーが含まれます。後者は、Microsoft Authenticator (passport.net)、電子メール クライアント (Mail.ru、Mozilla Thunderbird、Outlook、The Bat!、Yahoo Mail)、ブラウザ (Internet Explorer、Mozilla Firefox、Netscape Navigator)、メッセージングなどのさまざまなデータ ソースをターゲットとしています。サービス (Google トーク) など。
GeminiDuke :ローダー機能と永続性を確保するための複数のメカニズムを備えた GeminiDuke は、主にデバイス構成データの収集に重点を置いたデータ スティーラーとしての機能も備えています。この情報には、ユーザー アカウント、インストールされているドライバーとソフトウェア、実行中のプロセス、スタートアップ プログラムとサービス、ネットワーク設定、特定のフォルダーとファイル、最近アクセスしたプログラムとファイルが含まれます。
コズミックデューク (BotgenStudios、NemesisGemina、Tinybaron としても認識されます): CosmicDuke は、いくつかのローダー、永続性を確保するための一連のコンポーネント、特権昇格用のモジュールで構成されており、主に情報窃取機能を中心に展開しています。特定の拡張子を持つファイルの抽出、暗号化証明書 (秘密キーを含む) のエクスポート、スクリーンショットのキャプチャ、キーストロークの記録 (キーロギング)、ブラウザ、電子メール クライアント、メッセンジャーからのログイン資格情報の取得、およびクリップボードからのコンテンツの収集 (コピー) を行うことができます。 -ペーストバッファ)。
MiniDuke : このマルウェアは、ローダー、ダウンローダー、バックドア機能を含むさまざまなバージョンで登場します。 MiniDuke は主に、後続の感染に備えたシステムを準備するか、そのような感染の進行を促進するために使用されます。
Duke マルウェア ファミリは拡大を続けています
研究者たちは、Duke マルウェア ファミリに属し、APT29 の悪意のある武器庫の一部として使用されているさらにいくつかの脅威を特定することに成功しました。
CozyDukeは、Cozer、CozyBear、CozyCar、EuroAPT としても認識され、主にバックドアとして機能します。その中心的な目的は、後続の感染、特に独自のモジュールに対する、しばしば「バックドア」と呼ばれるエントリ ポイントを確立することです。これを実現するために、永続性を確保するために設計された複数のモジュールとドロッパーを組み合わせて使用します。
そのコンポーネントの中には、システム データの抽出、基本的な Cmd.exe コマンドの実行、スクリーンショットのキャプチャ、ログイン資格情報の盗用に特化したコンポーネントがあります。注目すべきことに、CozyDuke は他のファイルに侵入して実行する機能も備えており、広範囲のマルウェア感染を促進する可能性を示唆しています。
OnionDuke は、可能な構成の多様なセットを備えたモジュール式マルウェアとして自身を表します。ローダーおよびドロッパー機能を備えたこのプログラムは、パスワードやその他の機密データの収集に重点を置いたモジュールを含む、一連の情報窃取モジュールを導入します。さらに、分散型サービス拒否 (DDoS) 攻撃の開始を目的としたコンポーネントも備えています。別のモジュールは、侵害されたソーシャル ネットワーキング アカウントを悪用してスパム キャンペーンを開始し、感染範囲を拡大する可能性があります。
SeaDukeは SeaDaddy および SeaDask とも呼ばれ、Windows と Linux システムの両方で動作するように設計されたクロスプラットフォーム バックドアとして際立っています。 SeaDuke は比較的単純であるにもかかわらず、基本的なツールセットとして機能し、主に侵入したファイルを実行して感染を伝播することを目的としています。
HammerDuke は、HAMMERTOSS および Netduke としても知られ、単純なバックドアとして登場します。その識別可能な使用法は、CozyDuke 感染に続く二次的なバックドアとしてのみ注目されています。
CloudDuke はCloudLook および MiniDionis としても認識されており、2 つのバックドア バージョンでマニフェストされます。このマルウェアにはダウンローダーとローダーの機能が組み込まれており、主にインターネットまたは Microsoft OneDrive アカウントなど、事前に定義された場所からペイロードを取得してインストールすることを目的としています。
The Dukes APT 攻撃者が新しいマルウェア ツールセットを導入する可能性は、その活動が停止しない限り、依然として相当であることを強調しておくことが重要です。彼らの活動の性質は、彼らの戦略と技術における革新の持続的な可能性を示唆しています。
