Decoy Dog Malware - een vernieuwing van Puppy RAT

Onlangs hebben cyberbeveiligingsonderzoekers een grondig onderzoek uitgevoerd naar een nieuw ontdekte malware genaamd Decoy Dog en ontdekten dat deze een aanzienlijke verbetering vertegenwoordigt ten opzichte van de Pupy RAT, een open-source trojan voor externe toegang die als basis diende.

Volgens een rapport van Infoblox beschikt Decoy Dog over een reeks krachtige en voorheen onbekende mogelijkheden. Het heeft met name de mogelijkheid om slachtoffers over te dragen naar een alternatieve controller, waardoor voortdurende communicatie met gecompromitteerde machines mogelijk wordt en langere periodes van verzwijging worden vergemakkelijkt. Verbazingwekkend genoeg hebben bepaalde slachtoffers meer dan een jaar actief contact onderhouden met een Decoy Dog-server.

Decoy Dog geüpdatet met nieuwe mogelijkheden

Onder de nieuw toegevoegde functies kan Decoy Dog willekeurige Java-code op de client uitvoeren en verbindingen tot stand brengen met noodcontrollers met behulp van een mechanisme dat doet denken aan het traditionele DNS-algoritme voor het genereren van domeinen (DGA). Dit mechanisme zorgt ervoor dat Decoy Dog-domeinen effectief kunnen reageren op opnieuw afgespeelde DNS-query's van gehackte clients.

Dr. Renée Burton, hoofd bedreigingsinformatie bij Infoblox, benadrukte dat Decoy Dog functionaliteiten biedt die niet aanwezig waren in Pupy. Van bijzonder belang is een commando dat het gecompromitteerde apparaat opdracht geeft om de communicatie met de huidige controller te beëindigen en in plaats daarvan een andere aan te spreken. Deze ontdekking werd mogelijk gemaakt door statistische analyse van de DNS-query's.

De ontdekking van de malware dateert van begin april 2023, toen Infoblox ongebruikelijke DNS-beaconing-activiteit ontdekte, waardoor de gerichte aanvallen op bedrijfsnetwerken aan het licht kwamen. De exacte oorsprong van Decoy Dog blijft in mysterie gehuld, maar men vermoedt dat het het werk is van een selecte groep hackers van nationale staten. Ondanks het gebruik van verschillende tactieken, reageren deze bedreigingsactoren op inkomende verzoeken die overeenkomen met de communicatiestructuur van klanten.

Decoy Dog functioneert door gebruik te maken van het Domain Name System (DNS) om zijn command-and-control (C2) operaties uit te voeren. Gecompromitteerde eindpunten communiceren met een controller (of server) via DNS-query's en IP-adresantwoorden en ontvangen daarbij instructies.

Als reactie op eerdere onthullingen hebben de dreigingsactoren hun aanvalsinfrastructuur snel aangepast. Ze hebben bepaalde DNS-naamservers verwijderd en nieuwe vervangende domeinen geregistreerd om te zorgen voor persistentie op afstand.

Initiële inzetdatums van lokaashonden tot 2022

Het eerste bekende exemplaar van de inzet van Decoy Dog dateert van eind maart of begin april 2022, gevolgd door de detectie van drie andere clusters onder controle van verschillende controllers. Op dit moment zijn er in totaal 21 Decoy Dog-domeinen geïdentificeerd.

Om de intrige nog groter te maken, heeft een reeks controllers die sinds april 2023 zijn geregistreerd, geofencing ingebouwd als een techniek om reacties op IP-adressen van klanten vanaf specifieke locaties te beperken. Met name de waargenomen activiteit is beperkt tot Rusland en Oost-Europa.