Decoy Dog Malware - en opfriskning af RAT-hvalpe

For nylig har cybersikkerhedsforskere gennemført en grundig undersøgelse af en nyopdaget malware ved navn Decoy Dog og fundet ud af, at den repræsenterer en væsentlig forbedring i forhold til Pupy RAT, en open source-fjernadgangstrojan, der fungerede som dens grundlag.

Ifølge en rapport udgivet af Infoblox kan Decoy Dog prale af en række kraftfulde og hidtil ukendte egenskaber. Det besidder især evnen til at overføre ofre til en alternativ controller, hvilket muliggør løbende kommunikation med kompromitterede maskiner og letter længere perioder med fortielse. Forbløffende nok har visse ofre opretholdt aktiv kommunikation med en lokkehundeserver i over et år.

Lokkehund opdateret med nye muligheder

Blandt dens nyligt tilføjede funktioner, kan Decoy Dog udføre vilkårlig Java-kode på klienten og etablere forbindelser med nødcontrollere ved hjælp af en mekanisme, der minder om den traditionelle DNS-domænegenereringsalgoritme (DGA). Denne mekanisme sikrer, at Decoy Dog-domæner effektivt kan reagere på genafspillede DNS-forespørgsler fra overtrådte klienter.

Dr. Renée Burton, lederen af trusselsefterretninger hos Infoblox, understregede, at Decoy Dog tilbyder funktioner, der ikke var til stede i Pupy. Særligt bemærkelsesværdigt er en kommando, der instruerer den kompromitterede enhed til at stoppe kommunikationen med den aktuelle controller og i stedet engagere sig med en anden. Denne opdagelse blev muliggjort gennem statistisk analyse af DNS-forespørgslerne.

Opdagelsen af malwaren går tilbage til begyndelsen af april 2023, hvor Infoblox opdagede usædvanlig DNS-beaconing-aktivitet og afslørede dets målrettede angreb mod virksomhedsnetværk. Den nøjagtige oprindelse af Decoy Dog forbliver indhyllet i mystik, men det er mistænkt for at være arbejdet af en udvalgt gruppe nationalstatshackere. På trods af brugen af forskellige taktikker, reagerer disse trusselsaktører på indgående anmodninger, der matcher klienternes kommunikationsstruktur.

Decoy Dog fungerer ved at udnytte domænenavnesystemet (DNS) til at udføre dets kommando-og-kontrol (C2) operationer. Kompromitterede slutpunkter kommunikerer med en controller (eller server) via DNS-forespørgsler og IP-adressesvar og modtager instruktioner i processen.

Som svar på tidligere afsløringer har trusselsaktørerne hurtigt tilpasset deres angrebsinfrastruktur. De har fjernet visse DNS-navneservere og registreret nye erstatningsdomæner for at sikre ekstern persistens.

Indledende implementering af lokkehunde til 2022

Det første kendte tilfælde af Decoy Dog-implementering går tilbage til slutningen af marts eller begyndelsen af april 2022, efterfulgt af påvisningen af tre andre klynger under kontrol af forskellige controllere. Lige nu er der identificeret i alt 21 Decoy Dog-domæner.

For at tilføje intrigen har et sæt controllere, der er registreret siden april 2023, indarbejdet geofencing som en teknik til at begrænse svar på klientens IP-adresser fra specifikke lokationer. Navnlig har observeret aktivitet været begrænset til Rusland og Østeuropa.