Decoy Dog Malware - en oppfriskning av Pupy RAT

Nylig har cybersikkerhetsforskere utført en grundig undersøkelse av en nylig oppdaget skadelig programvare kalt Decoy Dog og funnet ut at den representerer en betydelig forbedring i forhold til Pupy RAT, en åpen kildekode-trojaner for fjerntilgang som fungerte som grunnlaget.

I følge en rapport utgitt av Infoblox, har Decoy Dog en rekke kraftige og tidligere ukjente funksjoner. Spesielt har den evnen til å overføre ofre til en alternativ kontroller, og dermed muliggjøre kontinuerlig kommunikasjon med kompromitterte maskiner og forenkle lengre perioder med fortielse. Forbløffende nok har enkelte ofre opprettholdt aktiv kommunikasjon med en Decoy Dog-server i over et år.

Lokkehund oppdatert med nye funksjoner

Blant de nylig lagt til funksjonene, kan Decoy Dog kjøre vilkårlig Java-kode på klienten og etablere forbindelser med nødkontrollere ved å bruke en mekanisme som minner om den tradisjonelle DNS-domenegenereringsalgoritmen (DGA). Denne mekanismen sikrer at Decoy Dog-domener effektivt kan svare på avspilte DNS-spørringer fra klienter som brytes.

Dr. Renée Burton, leder for trusseletterretning ved Infoblox, understreket at Decoy Dog tilbyr funksjonaliteter som ikke var til stede i Pupy. Spesielt å merke seg er en kommando som leder den kompromitterte enheten til å slutte å kommunisere med den gjeldende kontrolleren og i stedet engasjere seg med en annen. Denne oppdagelsen ble gjort mulig gjennom statistisk analyse av DNS-spørringene.

Oppdagelsen av skadelig programvare dateres tilbake til tidlig i april 2023, da Infoblox oppdaget uvanlig DNS-signalaktivitet, og avdekket målrettede angrep mot bedriftsnettverk. Den eksakte opprinnelsen til Decoy Dog forblir innhyllet i mystikk, men det er mistenkt for å være arbeidet til en utvalgt gruppe nasjonalstatshackere. Til tross for bruk av distinkte taktikker, svarer disse trusselaktørene på innkommende forespørsler som samsvarer med kommunikasjonsstrukturen til klienter.

Decoy Dog fungerer ved å utnytte domenenavnsystemet (DNS) til å utføre kommando-og-kontroll (C2) operasjoner. Kompromitterte endepunkter kommuniserer med en kontroller (eller server) via DNS-spørringer og IP-adressesvar, og mottar instruksjoner i prosessen.

Som svar på tidligere avsløringer har trusselaktørene raskt tilpasset angrepsinfrastrukturen sin. De har tatt ned visse DNS-navneservere og registrert nye erstatningsdomener for å sikre ekstern persistens.

Innledende utplassering av lokkehund er til 2022

Den første kjente forekomsten av Decoy Dog-distribusjon dateres tilbake til slutten av mars eller begynnelsen av april 2022, etterfulgt av oppdagelsen av tre andre klynger under kontroll av forskjellige kontrollere. Per nå er totalt 21 Decoy Dog-domener identifisert.

I tillegg til intrigen har et sett med kontrollere registrert siden april 2023 inkorporert geofencing som en teknikk for å begrense svar på klientens IP-adresser fra spesifikke lokasjoner. Spesielt har observert aktivitet vært begrenset til Russland og Øst-Europa.