Decoy Dog kenkėjiška programa – Pupy RAT atnaujinimas

Neseniai kibernetinio saugumo tyrėjai atliko išsamų naujai atrastos kenkėjiškos programos, pavadintos „Decoy Dog“, tyrimą ir nustatė, kad ji yra reikšmingas patobulinimas, palyginti su Pupy RAT – atviro kodo nuotolinės prieigos Trojos arkliu, kuris buvo jos pagrindas.

Remiantis „Infoblox“ paskelbta ataskaita, „Decoy Dog“ gali pasigirti daugybe galingų ir anksčiau nežinomų galimybių. Pažymėtina, kad jis turi galimybę perkelti aukas į pakaitinį valdiklį, taip užtikrinant nuolatinį ryšį su pažeistomis mašinomis ir palengvinant ilgesnį slėpimo laikotarpį. Stebėtina, kad kai kurios aukos palaiko aktyvų ryšį su Decoy Dog serveriu daugiau nei metus.

Šuo apgaulė atnaujinta su naujomis galimybėmis

Be naujai pridėtų funkcijų, „Decoy Dog“ gali vykdyti savavališką „Java“ kodą kliente ir užmegzti ryšius su avariniais valdikliais, naudodamas mechanizmą, primenantį tradicinį DNS domeno generavimo algoritmą (DGA). Šis mechanizmas užtikrina, kad „Decoy Dog“ domenai galėtų veiksmingai reaguoti į pakartotinai atkurtas DNS užklausas iš pažeistų klientų.

Dr. Renée Burton, „Infoblox“ grėsmių žvalgybos vadovė, pabrėžė, kad „Decoy Dog“ siūlo funkcijas, kurių nebuvo „Pupy“. Ypatingą dėmesį reikia atkreipti į komandą, kuri nurodo pažeistam įrenginiui nutraukti ryšį su esamu valdikliu ir vietoj to prisijungti prie kito valdiklio. Šis atradimas buvo įmanomas atlikus statistinę DNS užklausų analizę.

Kenkėjiškos programos atradimas datuojamas 2023 m. balandžio pradžioje, kai „Infoblox“ aptiko neįprastą DNS švyturio veiklą, atskleisdama tikslines atakas prieš įmonių tinklus. Tikslią „Decoy Dog“ kilmę gaubia paslaptis, tačiau įtariama, kad tai rinktinės nacionalinės valstybės įsilaužėlių grupės darbas. Nepaisant skirtingos taktikos, šie grėsmės veikėjai reaguoja į gaunamus užklausas, atitinkančias klientų komunikacijos struktūrą.

„Decoy Dog“ veikia naudodamas domeno vardų sistemą (DNS), kad vykdytų savo komandų ir valdymo (C2) operacijas. Pažeisti galiniai taškai bendrauja su valdikliu (arba serveriu) DNS užklausomis ir IP adresų atsakymais, gaudami instrukcijas.

Reaguodami į ankstesnius atskleidimus, grėsmės veikėjai greitai pritaikė savo atakų infrastruktūrą. Jie panaikino tam tikrus DNS vardų serverius ir užregistravo naujus pakaitinius domenus, kad užtikrintų nuotolinį išlikimą.

Pradinės „Decoy Dog“ naudojimo datos iki 2022 m

Pirmasis žinomas „Decoy Dog“ diegimo atvejis datuojamas 2022 m. kovo pabaigoje arba balandžio pradžioje, po to buvo aptiktos trys kitos grupės, kurias kontroliuoja skirtingi valdikliai. Iki šiol iš viso buvo nustatytas 21 „Decoy Dog“ domenas.

Intrigą padidina tai, kad nuo 2023 m. balandžio mėn. registruotų valdiklių rinkinys įtraukė geografinę tvorą kaip metodą, leidžiantį apriboti atsakymus į klientų IP adresus iš konkrečių vietų. Pažymėtina, kad stebėta veikla apsiribojo Rusija ir Rytų Europa.