Decoy Dog Malware - une mise à jour de Pupy RAT

Récemment, des chercheurs en cybersécurité ont mené une enquête approfondie sur un logiciel malveillant récemment découvert nommé Decoy Dog et ont découvert qu'il représentait une amélioration significative par rapport au Pupy RAT, un cheval de Troie d'accès à distance open source qui lui a servi de base.

Selon un rapport publié par Infoblox, Decoy Dog dispose d'une gamme de fonctionnalités puissantes et jusque-là inconnues. Notamment, il possède la capacité de transférer les victimes vers un autre contrôleur, permettant ainsi une communication continue avec les machines compromises et facilitant de longues périodes de dissimulation. Étonnamment, certaines victimes ont maintenu une communication active avec un serveur Decoy Dog pendant plus d'un an.

Decoy Dog mis à jour avec de nouvelles fonctionnalités

Parmi ses nouvelles fonctionnalités, Decoy Dog peut exécuter du code Java arbitraire sur le client et établir des connexions avec des contrôleurs d'urgence à l'aide d'un mécanisme rappelant l'algorithme de génération de domaine DNS (DGA) traditionnel. Ce mécanisme garantit que les domaines Decoy Dog peuvent répondre efficacement aux requêtes DNS rejouées des clients piratés.

Le Dr Renée Burton, responsable du renseignement sur les menaces chez Infoblox, a souligné que Decoy Dog offre des fonctionnalités qui n'étaient pas présentes dans Pupy. Il convient de noter en particulier une commande qui ordonne à l'appareil compromis de cesser la communication avec le contrôleur actuel et de s'engager à la place avec un autre. Cette découverte a été rendue possible grâce à l'analyse statistique des requêtes DNS.

La découverte du logiciel malveillant remonte au début d'avril 2023, lorsqu'Infoblox a détecté une activité de balisage DNS inhabituelle, révélant ses attaques ciblées contre les réseaux d'entreprise. Les origines exactes de Decoy Dog restent entourées de mystère, mais on soupçonne qu'il s'agit de l'œuvre d'un groupe restreint de hackers d'États-nations. Malgré l'utilisation de tactiques distinctes, ces acteurs de la menace répondent aux demandes entrantes qui correspondent à la structure de communication des clients.

Decoy Dog fonctionne en exploitant le système de noms de domaine (DNS) pour effectuer ses opérations de commande et de contrôle (C2). Les terminaux compromis communiquent avec un contrôleur (ou un serveur) via des requêtes DNS et des réponses d'adresse IP, recevant des instructions dans le processus.

En réponse aux révélations antérieures, les acteurs de la menace ont rapidement adapté leur infrastructure d'attaque. Ils ont supprimé certains serveurs de noms DNS et enregistré de nouveaux domaines de remplacement pour assurer la persistance à distance.

Dates initiales de déploiement du chien leurre jusqu'en 2022

Le premier cas connu de déploiement de Decoy Dog remonte à fin mars ou début avril 2022, suivi de la détection de trois autres clusters sous le contrôle de contrôleurs différents. À ce jour, un total de 21 domaines Decoy Dog ont été identifiés.

Pour ajouter à l'intrigue, un ensemble de contrôleurs enregistrés depuis avril 2023 a intégré le géofencing comme technique pour limiter les réponses aux adresses IP des clients à partir d'emplacements spécifiques. Notamment, l'activité observée a été limitée à la Russie et à l'Europe de l'Est.