Decoy Dog Malware – a Pupy RAT frissítése

A közelmúltban a kiberbiztonsági kutatók alapos vizsgálatot végeztek egy újonnan felfedezett, Decoy Dog nevű rosszindulatú szoftverrel kapcsolatban, és megállapították, hogy az jelentős előrelépést jelent a Pupy RAT-hoz képest, amely egy nyílt forráskódú távoli hozzáférésű trójai, amely annak alapjául szolgált.

Az Infoblox által kiadott jelentés szerint a Decoy Dog egy sor erőteljes és korábban ismeretlen képességgel büszkélkedhet. Nevezetesen, hogy képes az áldozatokat egy alternatív vezérlőre áthelyezni, ezáltal lehetővé teszi a folyamatos kommunikációt a feltört gépekkel, és megkönnyíti a hosszabb rejtőzködést. Meglepő módon bizonyos áldozatok több mint egy éve aktívan kommunikálnak egy Decoy Dog szerverrel.

A Decoy Dog új képességekkel frissítve

Újonnan hozzáadott szolgáltatásai közül a Decoy Dog tetszőleges Java kódot futtathat a kliensen, és kapcsolatot létesíthet a vészhelyzeti vezérlőkkel a hagyományos DNS tartománygeneráló algoritmusra (DGA) emlékeztető mechanizmus segítségével. Ez a mechanizmus biztosítja, hogy a Decoy Dog tartományok hatékonyan tudjanak válaszolni a megsértett ügyfelektől érkező DNS-lekérdezésekre.

Dr. Renée Burton, az Infoblox fenyegetések hírszerzési részlegének vezetője hangsúlyozta, hogy a Decoy Dog olyan funkciókat kínál, amelyek nem voltak jelen a Pupyban. Különösen figyelemre méltó egy olyan parancs, amely arra utasítja a feltört eszközt, hogy szakítsa meg a kommunikációt az aktuális vezérlővel, és ehelyett egy másik vezérlővel lépjen kapcsolatba. Ezt a felfedezést a DNS-lekérdezések statisztikai elemzése tette lehetővé.

A kártevő felfedezése 2023. április elejére nyúlik vissza, amikor az Infoblox szokatlan DNS beaconing tevékenységet észlelt, felfedve a vállalati hálózatok elleni célzott támadásait. A Decoy Dog pontos eredetét továbbra is rejtély övezi, de azt gyanítják, hogy nemzetállami hackerek egy kiválasztott csoportjának munkája. Annak ellenére, hogy eltérő taktikát alkalmaznak, ezek a fenyegetés szereplői válaszolnak az ügyfelek kommunikációs struktúrájának megfelelő bejövő kérésekre.

A Decoy Dog úgy működik, hogy a tartománynévrendszert (DNS) használja a parancs- és vezérlő (C2) műveletek végrehajtására. A veszélyeztetett végpontok DNS-lekérdezéseken és IP-címekre adott válaszokon keresztül kommunikálnak a vezérlővel (vagy szerverrel), és a folyamat során utasításokat kapnak.

A korábbi közzétételekre válaszul a fenyegetés szereplői gyorsan átalakították támadási infrastruktúrájukat. Leállítottak bizonyos DNS-névszervereket, és új helyettesítő tartományokat regisztráltak a távoli megmaradás biztosítása érdekében.

A Decoy Dog kezdeti bevezetési dátuma 2022

A Decoy Dog telepítésének első ismert példánya 2022 márciusának végére vagy április elejére nyúlik vissza, ezt követte három másik fürt észlelése különböző vezérlők irányítása alatt. Jelenleg összesen 21 Decoy Dog domaint azonosítottak.

Tovább fokozza az intrikát, hogy a 2023 áprilisa óta regisztrált vezérlők egy része a geokerítést alkalmazza, hogy korlátozza az ügyfelek IP-címeire adott válaszokat bizonyos helyekről. Nevezetesen, a megfigyelt tevékenység Oroszországra és Kelet-Európára korlátozódott.