Złośliwe oprogramowanie Decoy Dog — odświeżenie Pupy RAT

Niedawno badacze cyberbezpieczeństwa przeprowadzili dokładne dochodzenie w sprawie nowo odkrytego złośliwego oprogramowania o nazwie Decoy Dog i stwierdzili, że stanowi ono znaczną poprawę w stosunku do Pupy RAT, trojana zdalnego dostępu typu open source, który posłużył za jego podstawę.

Według raportu opublikowanego przez Infoblox, Decoy Dog oferuje szereg potężnych i nieznanych wcześniej możliwości. W szczególności posiada zdolność przekazywania ofiar do alternatywnego kontrolera, umożliwiając w ten sposób ciągłą komunikację z zaatakowanymi maszynami i ułatwiając dłuższe okresy ukrywania się. Co zaskakujące, niektóre ofiary utrzymywały aktywną komunikację z serwerem Decoy Dog przez ponad rok.

Decoy Dog zaktualizowany o nowe możliwości

Wśród nowo dodanych funkcji Decoy Dog może wykonywać dowolny kod Java na kliencie i nawiązywać połączenia z kontrolerami awaryjnymi za pomocą mechanizmu przypominającego tradycyjny algorytm generowania domen DNS (DGA). Ten mechanizm zapewnia, że domeny Decoy Dog mogą skutecznie odpowiadać na powtarzane zapytania DNS od naruszonych klientów.

Dr Renée Burton, szefowa wywiadu o zagrożeniach w firmie Infoblox, podkreśliła, że Decoy Dog oferuje funkcjonalności, których nie było w Pupy. Na szczególną uwagę zasługuje polecenie, które nakazuje zaatakowanemu urządzeniu przerwanie komunikacji z bieżącym kontrolerem i zamiast tego nawiązanie połączenia z innym. Odkrycie to było możliwe dzięki analizie statystycznej zapytań DNS.

Odkrycie tego złośliwego oprogramowania datuje się na początek kwietnia 2023 r., kiedy to firma Infoblox wykryła nietypową aktywność beaconingu DNS, ujawniając ataki ukierunkowane na sieci korporacyjne. Dokładne pochodzenie Decoy Dog pozostaje owiane tajemnicą, ale podejrzewa się, że jest to dzieło wybranej grupy hakerów z państw narodowych. Pomimo stosowania odmiennych taktyk, cyberprzestępcy odpowiadają na żądania przychodzące, które odpowiadają strukturze komunikacji klientów.

Decoy Dog działa, wykorzystując system nazw domen (DNS) do wykonywania swoich operacji dowodzenia i kontroli (C2). Zaatakowane punkty końcowe komunikują się z kontrolerem (lub serwerem) za pośrednictwem zapytań DNS i odpowiedzi na adresy IP, otrzymując przy tym instrukcje.

W odpowiedzi na wcześniejsze ujawnienia cyberprzestępcy szybko dostosowali swoją infrastrukturę do ataków. Usunęli niektóre serwery nazw DNS i zarejestrowali nowe domeny zastępcze, aby zapewnić zdalną trwałość.

Początkowe daty rozmieszczenia psów wabików do 2022 r

Pierwszy znany przypadek wdrożenia Decoy Dog datowany jest na koniec marca lub początek kwietnia 2022 r., po czym nastąpiło wykrycie trzech innych klastrów kontrolowanych przez różnych kontrolerów. Do tej pory zidentyfikowano łącznie 21 domen Decoy Dog.

Dodając do intrygi, zestaw kontrolerów zarejestrowanych od kwietnia 2023 r. włączył geofencing jako technikę ograniczania odpowiedzi na adresy IP klientów z określonych lokalizacji. Warto zauważyć, że obserwowana aktywność została ograniczona do Rosji i Europy Wschodniej.