Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент CosmicDuke
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
CosmicDuke
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CosmicDuke

CosmicDuke is malware that was used by APT29 from 2010 to 2015. (Citation: F-Secure The Dukes)
ID: S0050
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 31 May 2017
Last Modified: 28 Mar 2020

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

CosmicDuke can use HTTP or HTTPS for command and control to hard-coded C2 servers.(Citation: F-Secure The Dukes)(Citation: F-Secure Cosmicduke)
Enterprise T1543 .003 Create or Modify System Process: Windows Service

CosmicDuke uses Windows services typically named "javamtsup" for persistence.(Citation: F-Secure Cosmicduke)
Enterprise T1555 .003 Credentials from Password Stores: Credentials from Web Browsers

CosmicDuke collects user credentials, including passwords, for various programs including Web browsers.(Citation: F-Secure The Dukes)
Enterprise T1114 .001 Email Collection: Local Email Collection

CosmicDuke searches for Microsoft Outlook data files with extensions .pst and .ost for collection and exfiltration.(Citation: F-Secure Cosmicduke)
Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

CosmicDuke contains a custom version of the RC4 algorithm that includes a programming error.(Citation: F-Secure Cosmicduke)
Enterprise T1048 .003 Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol

CosmicDuke exfiltrates collected files over FTP or WebDAV. Exfiltration servers can be separately configured from C2 servers.(Citation: F-Secure Cosmicduke)
Enterprise T1056 .001 Input Capture: Keylogging

CosmicDuke uses a keylogger.(Citation: F-Secure The Dukes)
Enterprise T1003 .002 OS Credential Dumping: Security Account Manager

CosmicDuke collects Windows account hashes.(Citation: F-Secure The Dukes)
.004 OS Credential Dumping: LSA Secrets

CosmicDuke collects LSA secrets.(Citation: F-Secure The Dukes)

Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

CosmicDuke uses scheduled tasks typically named "Watchmon Service" for persistence.(Citation: F-Secure Cosmicduke)

Groups That Use This Software
ID Name References
G0016 APT29

(Citation: F-Secure The Dukes) (Citation: Secureworks IRON HEMLOCK Profile)

References

  1. F-Secure Labs. (2015, September 17). The Dukes: 7 years of Russian cyberespionage. Retrieved December 10, 2015.
  2. Secureworks CTU. (n.d.). IRON HEMLOCK. Retrieved February 22, 2022.
  3. F-Secure Labs. (2014, July). COSMICDUKE Cosmu with a twist of MiniDuke. Retrieved July 3, 2014.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.