Decoy Dog マルウェア - Pupy RAT の更新

最近、サイバーセキュリティ研究者は、新しく発見された Decoy Dog という名前のマルウェアについて徹底的な調査を実施し、その基盤となったオープンソースのリモートアクセストロイの木馬である Pupy RAT よりも大幅に改善されていることが判明しました。

Infoblox が発表したレポートによると、Decoy Dog はこれまで知られていなかった強力な機能を幅広く備えています。特に、被害者を代替コントローラに転送する機能を備えているため、侵害されたマシンとの継続的な通信が可能になり、長期間の隠蔽が容易になります。驚くべきことに、一部の被害者は 1 年以上にわたって Decoy Dog サーバーとの活発な通信を維持しています。

デコイドッグが新しい機能でアップデートされました

新しく追加された機能の中には、Decoy Dog はクライアント上で任意の Java コードを実行し、従来の DNS ドメイン生成アルゴリズム (DGA) を彷彿とさせるメカニズムを使用して緊急コントローラーとの接続を確立することができます。このメカニズムにより、Decoy Dog ドメインは侵害されたクライアントからの再実行された DNS クエリに効果的に応答できるようになります。

Infoblox の脅威インテリジェンス責任者である Renee Burton 博士は、Decoy Dog は Pupy には存在しなかった機能を提供すると強調しました。特に注目すべきは、侵害されたデバイスに現在のコントローラとの通信を停止し、代わりに別のコントローラと通信するよう指示するコマンドです。この発見は、DNS クエリの統計分析によって可能になりました。

このマルウェアの発見は、Infoblox が異常な DNS ビーコン活動を検出し、企業ネットワークに対する標的型攻撃を明らかにした 2023 年 4 月初旬に遡ります。 Decoy Dog の正確な起源は依然として謎に包まれていますが、国家ハッカーの選ばれたグループの仕業であると疑われています。これらの攻撃者は、異なる戦術を使用しているにもかかわらず、クライアントの通信構造に一致する受信リクエストに応答します。

Decoy Dog は、ドメインネームシステム (DNS) を悪用してコマンドアンドコントロール (C2) 操作を実行することによって機能します。侵害されたエンドポイントは、DNS クエリおよび IP アドレス応答を介してコントローラー (またはサーバー) と通信し、その過程で指示を受け取ります。

以前の暴露に応じて、脅威アクターは攻撃インフラストラクチャを迅速に適応させました。彼らは、リモート永続性を確保するために、特定の DNS ネームサーバーを停止し、新しい代替ドメインを登録しました。