Κακόβουλο λογισμικό Decoy Dog - μια ανανέωση του Pupy RAT

Πρόσφατα, ερευνητές κυβερνοασφάλειας διεξήγαγαν μια διεξοδική έρευνα σε ένα πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό με το όνομα Decoy Dog και διαπίστωσαν ότι αντιπροσωπεύει μια σημαντική βελτίωση σε σχέση με το Pupy RAT, έναν trojan απομακρυσμένης πρόσβασης ανοιχτού κώδικα που χρησίμευσε ως βάση του.

Σύμφωνα με μια έκθεση που κυκλοφόρησε από το Infoblox, το Decoy Dog μπορεί να υπερηφανεύεται για μια σειρά από ισχυρές και άγνωστες προηγουμένως δυνατότητες. Συγκεκριμένα, διαθέτει τη δυνατότητα να μεταφέρει τα θύματα σε έναν εναλλακτικό ελεγκτή, επιτρέποντας έτσι τη συνεχή επικοινωνία με παραβιασμένα μηχανήματα και διευκολύνοντας εκτεταμένες περιόδους απόκρυψης. Παραδόξως, ορισμένα θύματα διατηρούν ενεργή επικοινωνία με έναν διακομιστή Decoy Dog για περισσότερο από ένα χρόνο.

Το Decoy Dog ενημερώθηκε με νέες δυνατότητες

Μεταξύ των νέων δυνατοτήτων του, το Decoy Dog μπορεί να εκτελέσει αυθαίρετο κώδικα Java στον πελάτη και να δημιουργήσει συνδέσεις με ελεγκτές έκτακτης ανάγκης χρησιμοποιώντας έναν μηχανισμό που θυμίζει τον παραδοσιακό αλγόριθμο δημιουργίας τομέα DNS (DGA). Αυτός ο μηχανισμός διασφαλίζει ότι οι τομείς Decoy Dog μπορούν να ανταποκριθούν αποτελεσματικά σε επαναλαμβανόμενα ερωτήματα DNS από πελάτες που έχουν παραβιαστεί.

Η Δρ Renée Burton, επικεφαλής της υπηρεσίας πληροφοριών απειλών στο Infoblox, τόνισε ότι το Decoy Dog προσφέρει λειτουργίες που δεν υπήρχαν στο Pupy. Ιδιαίτερη προσοχή είναι μια εντολή που καθοδηγεί την παραβιασμένη συσκευή να διακόψει την επικοινωνία με τον τρέχοντα ελεγκτή και αντ' αυτού να εμπλακεί με έναν διαφορετικό. Αυτή η ανακάλυψη έγινε δυνατή μέσω στατιστικής ανάλυσης των ερωτημάτων DNS.

Η ανακάλυψη του κακόβουλου λογισμικού χρονολογείται από τις αρχές Απριλίου 2023, όταν το Infoblox εντόπισε ασυνήθιστη δραστηριότητα beaconing DNS, αποκαλύπτοντας τις στοχευμένες επιθέσεις του εναντίον εταιρικών δικτύων. Η ακριβής προέλευση του Decoy Dog παραμένει τυλιγμένη στο μυστήριο, αλλά υποπτεύεται ότι είναι έργο μιας επιλεγμένης ομάδας χάκερ εθνικών κρατών. Παρά τη χρήση διακριτών τακτικών, αυτοί οι παράγοντες απειλών ανταποκρίνονται σε εισερχόμενα αιτήματα που ταιριάζουν με τη δομή επικοινωνίας των πελατών.

Το Decoy Dog λειτουργεί εκμεταλλευόμενο το σύστημα ονομάτων τομέα (DNS) για να εκτελέσει τις λειτουργίες εντολής και ελέγχου (C2). Τα παραβιασμένα τελικά σημεία επικοινωνούν με έναν ελεγκτή (ή διακομιστή) μέσω ερωτημάτων DNS και απαντήσεων διεύθυνσης IP, λαμβάνοντας οδηγίες στη διαδικασία.

Σε απάντηση σε προηγούμενες αποκαλύψεις, οι φορείς απειλών προσάρμοσαν γρήγορα την υποδομή επίθεσης. Έχουν καταργήσει ορισμένους διακομιστές ονομάτων DNS και έχουν καταχωρίσει νέους τομείς αντικατάστασης για να διασφαλίσουν την απομακρυσμένη διατήρηση.

Η αρχική ανάπτυξη του Decoy Dog χρονολογείται από το 2022

Η πρώτη γνωστή περίπτωση ανάπτυξης του Decoy Dog χρονολογείται στα τέλη Μαρτίου ή στις αρχές Απριλίου 2022, ακολουθούμενη από τον εντοπισμό τριών άλλων συστάδων υπό τον έλεγχο διαφορετικών ελεγκτών. Μέχρι στιγμής, έχουν εντοπιστεί συνολικά 21 τομείς Decoy Dog.

Επιπρόσθετα στην ίντριγκα, ένα σύνολο ελεγκτών που έχουν εγγραφεί από τον Απρίλιο του 2023 έχει ενσωματώσει το geofencing ως τεχνική για τον περιορισμό των απαντήσεων σε διευθύνσεις IP πελατών από συγκεκριμένες τοποθεσίες. Συγκεκριμένα, η παρατηρούμενη δραστηριότητα έχει περιοριστεί στη Ρωσία και την Ανατολική Ευρώπη.