Decoy Dog Malware - un aggiornamento di Pupy RAT

Recentemente, i ricercatori di sicurezza informatica hanno condotto un'indagine approfondita su un malware scoperto di recente chiamato Decoy Dog e hanno scoperto che rappresenta un miglioramento significativo rispetto a Pupy RAT, un trojan di accesso remoto open source che ne è servito da base.

Secondo un rapporto pubblicato da Infoblox, Decoy Dog vanta una gamma di funzionalità potenti e precedentemente sconosciute. In particolare, possiede la capacità di trasferire le vittime a un controller alternativo, consentendo così la comunicazione continua con le macchine compromesse e facilitando lunghi periodi di occultamento. Sorprendentemente, alcune vittime hanno mantenuto una comunicazione attiva con un server Decoy Dog per oltre un anno.

Decoy Dog aggiornato con nuove funzionalità

Tra le nuove funzionalità aggiunte, Decoy Dog può eseguire codice Java arbitrario sul client e stabilire connessioni con controller di emergenza utilizzando un meccanismo che ricorda il tradizionale algoritmo di generazione del dominio DNS (DGA). Questo meccanismo garantisce che i domini Decoy Dog possano rispondere efficacemente alle query DNS riprodotte dai client violati.

La dottoressa Renée Burton, responsabile dell'intelligence sulle minacce di Infoblox, ha sottolineato che Decoy Dog offre funzionalità che non erano presenti in Pupy. Di particolare rilievo è un comando che ordina al dispositivo compromesso di interrompere la comunicazione con il controller corrente e di impegnarsi invece con un altro. Questa scoperta è stata resa possibile attraverso l'analisi statistica delle query DNS.

La scoperta del malware risale all'inizio di aprile 2023, quando Infoblox ha rilevato un'insolita attività di beaconing DNS, scoprendo i suoi attacchi mirati contro le reti aziendali. Le origini esatte di Decoy Dog rimangono avvolte nel mistero, ma si sospetta che sia opera di un gruppo selezionato di hacker di stato-nazione. Nonostante utilizzino tattiche distinte, questi attori delle minacce rispondono alle richieste in entrata che corrispondono alla struttura di comunicazione dei client.

Decoy Dog funziona sfruttando il sistema dei nomi di dominio (DNS) per eseguire le sue operazioni di comando e controllo (C2). Gli endpoint compromessi comunicano con un controller (o server) tramite query DNS e risposte di indirizzi IP, ricevendo istruzioni durante il processo.

In risposta a precedenti rivelazioni, gli autori delle minacce hanno rapidamente adattato la loro infrastruttura di attacco. Hanno rimosso alcuni server dei nomi DNS e registrato nuovi domini sostitutivi per garantire la persistenza remota.

La distribuzione iniziale di Decoy Dog risale al 2022

Il primo caso noto di distribuzione di Decoy Dog risale alla fine di marzo o all'inizio di aprile 2022, seguito dal rilevamento di altri tre cluster sotto il controllo di diversi controller. Ad oggi, sono stati identificati un totale di 21 domini Decoy Dog.

In aggiunta all'intrigo, un insieme di controllori registrati dall'aprile 2023 ha incorporato il geofencing come tecnica per limitare le risposte agli indirizzi IP dei client da posizioni specifiche. In particolare, l'attività osservata è stata limitata alla Russia e all'Europa orientale.