Decoy Dog Malware – eine Aktualisierung von Pupy RAT

Kürzlich haben Cybersicherheitsforscher eine gründliche Untersuchung einer neu entdeckten Malware namens Decoy Dog durchgeführt und herausgefunden, dass sie eine deutliche Verbesserung gegenüber Pupy RAT darstellt, einem Open-Source-Fernzugriffstrojaner, der als Grundlage diente.

Laut einem von Infoblox veröffentlichten Bericht verfügt Decoy Dog über eine Reihe leistungsstarker und bisher unbekannter Fähigkeiten. Insbesondere verfügt es über die Fähigkeit, Opfer an einen alternativen Controller zu übergeben, wodurch eine kontinuierliche Kommunikation mit kompromittierten Maschinen ermöglicht und längere Zeiträume der Tarnung erleichtert werden. Erstaunlicherweise haben einige Opfer über ein Jahr lang eine aktive Kommunikation mit einem Decoy Dog-Server aufrechterhalten.

Decoy Dog mit neuen Funktionen aktualisiert

Zu den neu hinzugefügten Funktionen gehört, dass Decoy Dog beliebigen Java-Code auf dem Client ausführen und mithilfe eines Mechanismus, der an den herkömmlichen DNS-Domänengenerierungsalgorithmus (DGA) erinnert, Verbindungen mit Notfall-Controllern herstellen kann. Dieser Mechanismus stellt sicher, dass Decoy Dog-Domänen effektiv auf wiederholte DNS-Anfragen von verletzten Clients reagieren können.

Dr. Renée Burton, Leiterin der Bedrohungsanalyse bei Infoblox, betonte, dass Decoy Dog Funktionen bietet, die in Pupy nicht vorhanden waren. Besonders hervorzuheben ist ein Befehl, der das kompromittierte Gerät anweist, die Kommunikation mit dem aktuellen Controller einzustellen und stattdessen mit einem anderen zu interagieren. Möglich wurde diese Entdeckung durch eine statistische Analyse der DNS-Anfragen.

Die Entdeckung der Malware geht auf Anfang April 2023 zurück, als Infoblox ungewöhnliche DNS-Beaconing-Aktivitäten entdeckte und damit gezielte Angriffe auf Unternehmensnetzwerke aufdeckte. Die genauen Ursprünge von Decoy Dog bleiben im Dunkeln, es wird jedoch vermutet, dass es sich um das Werk einer ausgewählten Gruppe nationalstaatlicher Hacker handelt. Trotz unterschiedlicher Taktiken reagieren diese Bedrohungsakteure auf eingehende Anfragen, die der Kommunikationsstruktur der Clients entsprechen.

Decoy Dog nutzt das Domain Name System (DNS) aus, um seine Command-and-Control-Operationen (C2) auszuführen. Kompromittierte Endpunkte kommunizieren über DNS-Anfragen und IP-Adressantworten mit einem Controller (oder Server) und erhalten dabei Anweisungen.

Als Reaktion auf frühere Offenlegungen haben die Bedrohungsakteure ihre Angriffsinfrastruktur rasch angepasst. Sie haben bestimmte DNS-Nameserver abgeschaltet und neue Ersatzdomänen registriert, um die Remote-Persistenz sicherzustellen.

Die ersten Einsatztermine für Lockhunde liegen im Jahr 2022

Der erste bekannte Einsatz von Decoy Dog geht auf Ende März oder Anfang April 2022 zurück, gefolgt von der Entdeckung von drei weiteren Clustern unter der Kontrolle verschiedener Controller. Bisher wurden insgesamt 21 Decoy Dog-Domains identifiziert.

Erschwerend kommt hinzu, dass eine Gruppe von seit April 2023 registrierten Verantwortlichen Geofencing als Technik integriert hat, um Antworten auf Client-IP-Adressen von bestimmten Standorten aus einzuschränken. Insbesondere beschränkten sich die beobachteten Aktivitäten auf Russland und Osteuropa.